TooManySecrets HeadQuarters

Un problema típico que suele ocurrir siempre (o casi) en la generación de sites seguros SSL con apache2, es que al crear la key has puesto password, y al iniciar el apache éste te la pide :-/

Repasemos un poco la creación de claves para un site:

1- Generar la clave privada:

openssl genrsa -des3 -out my-clave.key 1024

2- Generar el CSR (Certificate Signing Request):

openssl req -new -key my-clave.key -out my-clave.csr

3- Crear un certificado SSL auto-firmado:

openssl x509 -req -days 36500 -in my-clave.csr -signkey my-clave.key -out my-clave.crt

Ahora ya lo tienes todo, y no tienes más que añadir la configuración en el Apache para el nuevo site (información ésta que se escapa del tópico que nos ocupa y por tanto, no pondré aquí).

El "problema" viene cuando todo satisfecho ejecutas un "apachectl configtest", ves que está todo bien, y procedes con un "pkill" para reiniciar el proceso "httpd"... ¡¡JUAS!! ¡Atento porque verás que no inicia el apache, y que bien en los logs, o en el "service errors" del supervise, el apache está a la espera de que introduzcas el password del certificado. ¡FAIL!

Solución:

Haz una copia de seguridad de la clave privada:

$ cp my-clave.key my-clave.key-orig

A continuación descifra la clave (necesitarás el password):

$ openssl rsa -in my-clave.key -out nueva-clave.key

(atento al paso siguiente, para esto era la copia de seguridad)

$ cp nueva-clave.key my-clave.key

Si estás usando supervise o upstar verás que el servicio se recupera al momento. Ya no te pedirá el apache más el password de la clave.

Personalmente me gusta más esta opción al uso de un script que devuelva el password para el Apache:

SSLPassPhraseDialog exec:/path/to/script

Pudiendo ser dicho script un shellscript, perl, python, ruby, etc; el caso es que se trate de un script ejecutable.

Have a nice day ;-)

TooManySecrets