Apacheパスワード入力ダイアログを省略する方法

1. 鍵のパスフレーズを消す
2. 別ファイルにパスフレーズを書いておく

どちらの方法もセキュリティ強度を下げることには変わりはないです。２の方法はシェルスクリプトを起動するので、Wgetでパスフレーズを取得すると行ったアクロバットな方法も可能です。柔軟性を重視するなら２がおすすめです。複数証明書がある場合は２が楽です。

パスフレーズをファイルから読み込む方法

ApacheのSSL設定を編集しexecに変更します。

（Debianなら /etc/apache2/mods-enabled/ssl.conf)

 32 #   Pass Phrase Dialog:
 33 #   Configure the pass phrase gathering process.
 34 #   The filtering dialog program (`builtin' is a internal
 35 #   terminal dialog) has to provide the pass phrase on stdout.
 36 #SSLPassPhraseDialog  builtin              #初期設定
 37 SSLPassPhraseDialog  exec:/etc/apache2/certs/pass_phrase.sh #今回の設定
 38

#!/bin/sh
echo "my pass phrase"

$ /etc/apache2/certs/pass_phrase.sh
my pass phrase

sudo /etc/init.d/apache2 restart

スクリプトファイルに渡される引数

スクリプトファイルにはApacheから引数が渡されます。コレを使って条件分岐が可能になります。SSLPassPhraseDialogスクリプトにサーバー名とポート、暗号化方式を渡してくれる。

/etc/apache2/certs/pass_phrase.sh www.exmaple.com:443 RSA

のように、証明書ごとに起動してくれます。そこで、サーバーごとにパスフレーズを変えておくことが可能になります。

サーバーごとに違うパスフレーズを設定する。

/usr/local/apache/bin/pp_filter

#!/bin/sh

case $1 in
    www1.example.jp:443)
        /bin/echo "server1.keyのパスフレーズ"
        ;;
    www2.example.jp:8443)
        /bin/echo "server2.keyのパスフレーズ"
        ;;
esac
exit 0

http://d.hatena.ne.jp/learn/20110125/p1

サンプル例はシェルスクリプトだけど、ruby , python で書けるので楽ですね。

パスフレーズを解除した鍵を作る方法

パスワード入力スクリプトを使えば、パスフレーズなしの鍵は不要ですが、念のため作り方をメモしておきます。

openssl rsa -in server.key > server.no_passphrase.key

参考

EZ-NET 特集 ： Apache 2 で SSL 電子証明書のパスフレーズ入力を省略する
apacheで複数のバーチャルホストでSSLキーのパスフレーズが異なる場合のSSLPassPhraseDialogの書き方 - 日記のような何か
mod_ssl - Apache HTTP Server