Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
NoPassphrase with credstash
Search
YouYou
July 23, 2020
Technology
1.2k
0
Share
NoPassphrase with credstash
SSL秘密鍵のパスフレーズを暗号化して外部からパスフレーズを呼び出せるようにした。
YouYou
July 23, 2020
More Decks by YouYou
See All by YouYou
AWSマネコンに複数のアカウントで入れるようになりました
yuhta28
2
270
今インフラ技術をイチから学び直すなら
yuhta28
1
280
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
3
660
Datadog外形監視基盤をEC2から ECSへ移行してみた
yuhta28
0
1.8k
アウトプット頑張ったら企業からLT登壇の依頼がきた話
yuhta28
1
1.8k
小さなことから始めるAWSコスト最適入門
yuhta28
1
1.4k
Datadogのコストも監視しよう
yuhta28
1
1k
Rcloneを使った定期的なストレージ同期
yuhta28
0
810
Pulumiを触ってみよう
yuhta28
1
2.7k
Other Decks in Technology
See All in Technology
Zephyr(RTOS)でARMとRISC-Vのコア間通信をしてみた
iotengineer22
0
110
Why we keep our community?
kawaguti
PRO
0
350
How to install a gem
indirect
0
2k
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
Even G2 クイックスタートガイド(日本語版)
vrshinobi1
0
160
「活動」は激変する。「ベース」は変わらない ~ 4つの軸で捉える_AI時代ソフトウェア開発マネジメント
sentokun
0
140
会社紹介資料 / Sansan Company Profile
sansan33
PRO
16
410k
【Oracle Cloud ウェビナー】データ主権はクラウドで守れるのか?NTTデータ様のOracle Alloyで実現するソブリン対応クラウドの最適解
oracle4engineer
PRO
3
130
20260326_AIDD事例紹介_ULSC.pdf
findy_eventslides
0
260
GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える
flatt_security
11
6.9k
FastMCP OAuth Proxy with Cognito
hironobuiga
3
230
不確実性と戦いながら見積もりを作成するプロセス/mitsumori-process
hirodragon112
1
160
Featured
See All Featured
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.5k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.1k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
340
Building AI with AI
inesmontani
PRO
1
840
Mobile First: as difficult as doing things right
swwweet
225
10k
Google's AI Overviews - The New Search
badams
0
950
Designing for Performance
lara
611
70k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
170
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.8k
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.2k
Measuring Dark Social's Impact On Conversion and Attribution
stephenakadiri
1
170
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.4k
Transcript
CredStashでSSLのパスフレーズ 問い合わせを無視してみた
目次 • 自己紹介 • 概要 • 問題点 • CredStashとKMSについて •
実装 • おまけ • まとめ
自己紹介 Name:ユータ Occupation:SRE Twitter:@Y0u281 ※(オーでなくゼロです) note:https://note.com/tar28 →Qrunchに移行 https://yuta0128.qrunch.io/
概要 秘密鍵にパスフレーズが設定されているとApache再起動時に、 毎回パスフレーズを聞かれる 対応策でよく紹介されているのは以下2つ • 秘密鍵のパスフレーズを解除 • SSLPassPhraseDialogというディレクティブからパスフレーズを呼ぶ Passphrase.sh →
echo “passphrase” デモ有
問題点 サーバ内の秘密鍵が丸見え or パスフレーズを平文で保存してしまう
CredStash AWS KMS パスフレーズを暗号化して 外部に保存すればいい
CredStashとAWS KMSについて CredStash • 認証情報の共有管理システム • DynamoDBへ鍵を保存する • Python製のコマンドツール ◦
GoやRubyの亜種もあるらしい AWS KMS • 暗号鍵の生成、管理ができるフルマ ネージド型サービス
実装
None
DynamoDBテーブルからパスフレーズを 呼び出している SSLPassPhraseDialogでこのスクリプト を指定 デモ有
再起動時にパスフレーズを聞かれること なく起動できた。
おまけ Nginxではどうすればいいのか? →ssl_password_fileというディレクティブがありま す 記法がApacheと異なるので注意! • exec:をつけない • 最後にセミコロン必須
認証情報は隠す まとめ
より詳しい内容はこちらのQiita記 事を御覧ください。 credstashを用いてApacheのSSL秘密鍵のパスフレーズ問い合わせ無視できるようにしてみた https://qiita.com/Yuhta/items/647c3a11175e59ff7fc2
ご静聴 ありがとうございました
yuhta28
iotengineer22
kawaguti
indirect
fullkaiten
vrshinobi1
sentokun
sansan33
oracle4engineer
findy_eventslides
flatt_security
hironobuiga
hirodragon112
lindahogenes
danielanewman
mfonobong
inesmontani
swwweet
badams
lara
ryanjones
honnibal
ivargrimstad
stephenakadiri
palkan
