(2014-04-09 11:57:10 отредактировано nafa)

Можно ли обучить Apache брать серверные ключи c Рутокена ?

Есть веб-сервер (Ubuntu server), стоит Apache, SSL. Сертификат и закрытый ключи сервера (SSLCertificateFile, SSLCertificateKeyFile) в файлах. Соответственно, вопрос: если перенести их на Рутокен, то можно ли научить Apache читать их оттуда, и если можно, то как ?
Под "читат их оттуда" понимается, естественно, не чтение ключа из токена, а обращение к токену (библиотеке) за шифрованием.

Re: Можно ли обучить Apache брать серверные ключи c Рутокена ?

А чем вызвана необходимость хранить ключ сервера на Рутокен?
Есть ли уверенность, что в этом случае сервер "потянет" по производительности?

Re: Можно ли обучить Apache брать серверные ключи c Рутокена ?

nafa пишет:

Есть веб-сервер (Ubuntu server), стоит Apache, SSL. Сертификат и закрытый ключи сервера (SSLCertificateFile, SSLCertificateKeyFile) в файлах. Соответственно, вопрос: если перенести их на Рутокен, то можно ли научить Apache читать их оттуда, и если можно, то как ?
Под "читат их оттуда" понимается, естественно, не чтение ключа из токена, а обращение к токену (библиотеке) за шифрованием.

За шифрованием лезть в токен нет смысла. А вот за подписью - можно.
OpenSSL подключается к Рутокену через engine_pkcs11 и библиотеку pkcs11.
У Вас уже есть Рутокен?

Re: Можно ли обучить Apache брать серверные ключи c Рутокена ?

Виктор Ткаченко пишет:

А чем вызвана необходимость хранить ключ сервера на Рутокен?
Есть ли уверенность, что в этом случае сервер "потянет" по производительности?

Опубликованной вчера дыркой в OpenSSL, которая предоставляет потенциальную возможность утащить с сервера закрытый ключ. Понятно, что от самих таких дырок токен не спасет, но от возможности утащить ключ, какк я понимаю защитит.
Производительность не сильно волнует - речь идет о закрытом сервере с ограниченном числом пользователей.

Виктор Ткаченко пишет:

За шифрованием лезть в токен нет смысла.

Ну как раз в свете описанной дырки по-поему очень даже есть смысл.
Или здесь правильнее использовать не рутокен, а какое-то другое средство аппаратного шифрования.

Виктор Ткаченко пишет:

OpenSSL подключается к Рутокену через engine_pkcs11 и библиотеку pkcs11.
У Вас уже есть Рутокен?

Рутокен есть. Насчет openSSL не понял - он в apache, как я понимаю, отдельного конфигурационного файла не имеет (или я не прав ?) т.е. где подключение прописывать ?. Нашел единственную директиву mod_ssl, связанную с аппаратным шифрованием SSLCryptoDevice, но что в нее писать не понимаю.

Re: Можно ли обучить Apache брать серверные ключи c Рутокена ?

Судя по этому https://issues.apache.org/bugzilla/show … i?id=52473, вам нужно будет патчить и пересобирать Apache, чтобы заставить его использовать ключи, расположенные на смарт-картах/токенах.