Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up
for free
NoPassphrase with credstash
YouYou
July 23, 2020
Technology
0
190
NoPassphrase with credstash
SSL秘密鍵のパスフレーズを暗号化して外部からパスフレーズを呼び出せるようにした。
YouYou
July 23, 2020
Tweet
Share
More Decks by YouYou
See All by YouYou
yuhta28
0
150
yuhta28
0
120
yuhta28
1
430
yuhta28
1
900
yuhta28
0
200
yuhta28
1
560
yuhta28
0
960
yuhta28
1
250
yuhta28
0
320
Other Decks in Technology
See All in Technology
katsumataryo
3
830
yashi8484
0
130
gracia
0
980
ayatokura
0
270
you
0
150
junendo
0
170
tutsunom
1
330
lain21
14
5.3k
michigari
0
230
maekawa123
0
620
sat
1
270
kota2and3kan
2
340
Featured
See All Featured
samanthasiow
58
6.4k
bryan
99
11k
tmm1
61
9.9k
cromwellryan
104
6.3k
bryan
32
3.5k
tammielis
237
23k
rocio
155
11k
reverentgeek
27
2.1k
jacobian
257
20k
kneath
220
15k
sachag
267
17k
garrettdimon
289
110k
Transcript
CredStashでSSLのパスフレーズ 問い合わせを無視してみた
目次 • 自己紹介 • 概要 • 問題点 • CredStashとKMSについて •
実装 • おまけ • まとめ
自己紹介 Name:ユータ Occupation:SRE Twitter:@Y0u281 ※(オーでなくゼロです) note:https://note.com/tar28 →Qrunchに移行 https://yuta0128.qrunch.io/
概要 秘密鍵にパスフレーズが設定されているとApache再起動時に、 毎回パスフレーズを聞かれる 対応策でよく紹介されているのは以下2つ • 秘密鍵のパスフレーズを解除 • SSLPassPhraseDialogというディレクティブからパスフレーズを呼ぶ Passphrase.sh →
echo “passphrase” デモ有
問題点 サーバ内の秘密鍵が丸見え or パスフレーズを平文で保存してしまう
CredStash AWS KMS パスフレーズを暗号化して 外部に保存すればいい
CredStashとAWS KMSについて CredStash • 認証情報の共有管理システム • DynamoDBへ鍵を保存する • Python製のコマンドツール ◦
GoやRubyの亜種もあるらしい AWS KMS • 暗号鍵の生成、管理ができるフルマ ネージド型サービス
実装
None
DynamoDBテーブルからパスフレーズを 呼び出している SSLPassPhraseDialogでこのスクリプト を指定 デモ有
再起動時にパスフレーズを聞かれること なく起動できた。
おまけ Nginxではどうすればいいのか? →ssl_password_fileというディレクティブがありま す 記法がApacheと異なるので注意! • exec:をつけない • 最後にセミコロン必須
認証情報は隠す まとめ
より詳しい内容はこちらのQiita記 事を御覧ください。 credstashを用いてApacheのSSL秘密鍵のパスフレーズ問い合わせ無視できるようにしてみた https://qiita.com/Yuhta/items/647c3a11175e59ff7fc2
ご静聴 ありがとうございました