Вы не авторизованы. Пожалуйста, войдите или зарегистрируйтесь.
Форум Рутокен → Рутокен и Open Source → Можно ли обучить Apache брать серверные ключи c Рутокена ?
Страницы 1
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Есть веб-сервер (Ubuntu server), стоит Apache, SSL. Сертификат и закрытый ключи сервера (SSLCertificateFile, SSLCertificateKeyFile) в файлах. Соответственно, вопрос: если перенести их на Рутокен, то можно ли научить Apache читать их оттуда, и если можно, то как ?
Под "читат их оттуда" понимается, естественно, не чтение ключа из токена, а обращение к токену (библиотеке) за шифрованием.
А чем вызвана необходимость хранить ключ сервера на Рутокен?
Есть ли уверенность, что в этом случае сервер "потянет" по производительности?
Есть веб-сервер (Ubuntu server), стоит Apache, SSL. Сертификат и закрытый ключи сервера (SSLCertificateFile, SSLCertificateKeyFile) в файлах. Соответственно, вопрос: если перенести их на Рутокен, то можно ли научить Apache читать их оттуда, и если можно, то как ?
Под "читат их оттуда" понимается, естественно, не чтение ключа из токена, а обращение к токену (библиотеке) за шифрованием.
За шифрованием лезть в токен нет смысла. А вот за подписью - можно.
OpenSSL подключается к Рутокену через engine_pkcs11 и библиотеку pkcs11.
У Вас уже есть Рутокен?
А чем вызвана необходимость хранить ключ сервера на Рутокен?
Есть ли уверенность, что в этом случае сервер "потянет" по производительности?
Опубликованной вчера дыркой в OpenSSL, которая предоставляет потенциальную возможность утащить с сервера закрытый ключ. Понятно, что от самих таких дырок токен не спасет, но от возможности утащить ключ, какк я понимаю защитит.
Производительность не сильно волнует - речь идет о закрытом сервере с ограниченном числом пользователей.
За шифрованием лезть в токен нет смысла.
Ну как раз в свете описанной дырки по-поему очень даже есть смысл.
Или здесь правильнее использовать не рутокен, а какое-то другое средство аппаратного шифрования.
OpenSSL подключается к Рутокену через engine_pkcs11 и библиотеку pkcs11.
У Вас уже есть Рутокен?
Рутокен есть. Насчет openSSL не понял - он в apache, как я понимаю, отдельного конфигурационного файла не имеет (или я не прав ?) т.е. где подключение прописывать ?. Нашел единственную директиву mod_ssl, связанную с аппаратным шифрованием SSLCryptoDevice, но что в нее писать не понимаю.
Судя по этому https://issues.apache.org/bugzilla/show … i?id=52473, вам нужно будет патчить и пересобирать Apache, чтобы заставить его использовать ключи, расположенные на смарт-картах/токенах.
Страницы 1
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Форум Рутокен → Рутокен и Open Source → Можно ли обучить Apache брать серверные ключи c Рутокена ?
