Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
NoPassphrase with credstash
Search
YouYou
July 23, 2020
Technology
0
1.2k
NoPassphrase with credstash
SSL秘密鍵のパスフレーズを暗号化して外部からパスフレーズを呼び出せるようにした。
YouYou
July 23, 2020
Tweet
Share
More Decks by YouYou
See All by YouYou
AWSマネコンに複数のアカウントで入れるようになりました
yuhta28
2
230
今インフラ技術をイチから学び直すなら
yuhta28
1
250
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
3
630
Datadog外形監視基盤をEC2から ECSへ移行してみた
yuhta28
0
1.7k
アウトプット頑張ったら企業からLT登壇の依頼がきた話
yuhta28
1
1.6k
小さなことから始めるAWSコスト最適入門
yuhta28
1
1.3k
Datadogのコストも監視しよう
yuhta28
1
980
Rcloneを使った定期的なストレージ同期
yuhta28
0
760
Pulumiを触ってみよう
yuhta28
1
2.6k
Other Decks in Technology
See All in Technology
日本のソブリンAIを支えるエヌビディアの生成AIエコシステム
acceleratedmu3n
0
110
Okta Identity Governanceで実現する最小権限の原則
demaecan
0
240
東京大学「Agile-X」のFPGA AIデザインハッカソンを制したソニーのAI最適化
sony
0
180
SRE × マネジメントレイヤーが挑戦した組織・会社のオブザーバビリティ改革 ― ビジネス価値と信頼性を両立するリアルな挑戦
coconala_engineer
0
420
ストレージエンジニアの仕事と、近年の計算機について / 第58回 情報科学若手の会
pfn
PRO
4
950
実践マルチモーダル検索!
shibuiwilliam
3
520
書籍『実践 Apache Iceberg』の歩き方
ishikawa_satoru
0
430
datadog-incident-management-intro
tetsuya28
0
110
AWS DMS で SQL Server を移行してみた/aws-dms-sql-server-migration
emiki
0
280
AIとの協業で実現!レガシーコードをKotlinらしく生まれ変わらせる実践ガイド
zozotech
PRO
2
260
AWS re:Invent 2025事前勉強会資料 / AWS re:Invent 2025 pre study meetup
kinunori
0
1k
AI連携の新常識! 話題のMCPをはじめて学ぶ!
makoakiba
0
180
Featured
See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
2.9k
jQuery: Nuts, Bolts and Bling
dougneiner
65
7.9k
We Have a Design System, Now What?
morganepeng
54
7.9k
Code Review Best Practice
trishagee
72
19k
A Tale of Four Properties
chriscoyier
161
23k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
34
2.3k
Into the Great Unknown - MozCon
thekraken
40
2.1k
Leading Effective Engineering Teams in the AI Era
addyosmani
7
680
Speed Design
sergeychernyshev
32
1.2k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
The Cult of Friendly URLs
andyhume
79
6.6k
Bash Introduction
62gerente
615
210k
Transcript
CredStashでSSLのパスフレーズ 問い合わせを無視してみた
目次 • 自己紹介 • 概要 • 問題点 • CredStashとKMSについて •
実装 • おまけ • まとめ
自己紹介 Name:ユータ Occupation:SRE Twitter:@Y0u281 ※(オーでなくゼロです) note:https://note.com/tar28 →Qrunchに移行 https://yuta0128.qrunch.io/
概要 秘密鍵にパスフレーズが設定されているとApache再起動時に、 毎回パスフレーズを聞かれる 対応策でよく紹介されているのは以下2つ • 秘密鍵のパスフレーズを解除 • SSLPassPhraseDialogというディレクティブからパスフレーズを呼ぶ Passphrase.sh →
echo “passphrase” デモ有
問題点 サーバ内の秘密鍵が丸見え or パスフレーズを平文で保存してしまう
CredStash AWS KMS パスフレーズを暗号化して 外部に保存すればいい
CredStashとAWS KMSについて CredStash • 認証情報の共有管理システム • DynamoDBへ鍵を保存する • Python製のコマンドツール ◦
GoやRubyの亜種もあるらしい AWS KMS • 暗号鍵の生成、管理ができるフルマ ネージド型サービス
実装
None
DynamoDBテーブルからパスフレーズを 呼び出している SSLPassPhraseDialogでこのスクリプト を指定 デモ有
再起動時にパスフレーズを聞かれること なく起動できた。
おまけ Nginxではどうすればいいのか? →ssl_password_fileというディレクティブがありま す 記法がApacheと異なるので注意! • exec:をつけない • 最後にセミコロン必須
認証情報は隠す まとめ
より詳しい内容はこちらのQiita記 事を御覧ください。 credstashを用いてApacheのSSL秘密鍵のパスフレーズ問い合わせ無視できるようにしてみた https://qiita.com/Yuhta/items/647c3a11175e59ff7fc2
ご静聴 ありがとうございました
yuhta28
acceleratedmu3n
demaecan
sony
coconala_engineer
pfn
shibuiwilliam
ishikawa_satoru
tetsuya28
emiki
zozotech
kinunori
makoakiba
danielanewman
dougneiner
morganepeng
trishagee
chriscoyier
marcduiker
thekraken
addyosmani
sergeychernyshev
pedronauck
andyhume
62gerente
