ओपनसेल में -nodes बहस का उद्देश्य क्या है?

-nodesOpensl में तर्क का उद्देश्य क्या है ?

विकल्प -nodesअंग्रेजी शब्द "नोड्स" नहीं है, बल्कि "नो डेस" है। जब एक तर्क के रूप में दिया जाता है, तो इसका मतलब है कि ओपनएसएसएल पीकेसीएस # 12 फ़ाइल में निजी कुंजी को एन्क्रिप्ट नहीं करेगा ।

निजी कुंजी को एन्क्रिप्ट करने के लिए, आप छोड़ सकते हैं -nodesऔर आपकी कुंजी 3DES-CBC के साथ एन्क्रिप्ट की जाएगी। कुंजी को एन्क्रिप्ट करने के लिए, ओपनएसएसएल आपको पासवर्ड के लिए संकेत देता है और यह उस पासवर्ड का उपयोग कुंजी-व्युत्पत्ति फ़ंक्शन EVP_BytesToKey का उपयोग करके एन्क्रिप्शन कुंजी उत्पन्न करने के लिए करता है ।

ओपनएसएसएल के अपने संस्करण और संकलित विकल्पों के आधार पर, आप इन विकल्पों को निम्नलिखित के स्थान पर प्रदान करने में सक्षम हो सकते हैं -nodes:

-des          encrypt private keys with DES
-des3         encrypt private keys with triple DES (default)
-idea         encrypt private keys with idea
-seed         encrypt private keys with seed
-aes128, -aes192, -aes256
              encrypt PEM output with cbc aes
-camellia128, -camellia192, -camellia256
              encrypt PEM output with cbc camellia

अंततः लाइब्रेरी स्तर पर ओपनएसएसएल आपके द्वारा चुने गए एन्क्रिप्शन एल्गोरिथ्म (या इसके अभाव) के साथ फ़ंक्शन PEM_write_bio_PStreetKey को कॉल करता है ।

संपादित करें: nginx v1.7.3 ने एक ssl_password_file निर्देश जोड़ा है जो संदर्भ के एन्क्रिप्टेड- प्राइवेट पर प्रत्येक पासफ़्रेज़ की कोशिश कर रहे निर्दिष्ट फ़ाइल से पासफ़्रेज़ पढ़ता है।

व्यक्ति सही है कि -nodesतर्क का मतलब है कि OpenSSL एन्क्रिप्ट नहीं किए गए बनाएगा private.key ; अन्यथा, एन्क्रिप्टेड-Private.key बनाने के लिए एक पासफ़्रेज़ प्रॉम्प्ट होगा । देखने के अनुरोध , PKCS12 , CA.pl

हालाँकि, मुझे लगता है कि उद्देश्य (प्रोग्रामर के लिए) है:

• HTTP सर्वर (उदा। अपाचे , नगनेक्स ) कूटशब्द -निजी को पढ़ नहीं सकते हैं। पासफ़्रेज़ के बिना →
  • विकल्प ए - हर बार HTTP सर्वर शुरू होने पर, एन्क्रिप्टेड-प्राइवेट के लिए पासफ़्रेज़ प्रदान करना होगा
  • विकल्प बी - निर्दिष्ट ssl_password_file file.keys;में http { }या server { }संदर्भ। [ रेफ ]
  • विकल्प सी - एन्क्रिप्शन के बिना Private.key-nodes बनाने के लिए उपयोग करें

उपयोगी: प्राइवेट को बंद करें

• { ssl-cert ग्रुप में HTTP सर्वर जोड़ें }
• sudo chown root:ssl-cert private.key- ch Ange खुद की एर private.key को जड़ उपयोगकर्ता, एसएसएल-प्रमाणपत्र समूह
• sudo chmod 640 private.key- मालिक आर / डब्ल्यू, समूह आर के लिए Private.key की पहुंच अनुमतियाँ बदलें
• अब, HTTP सर्वर शुरू करने और एन्क्रिप्ट नहीं किए गए पढ़ने के लिए सक्षम होना चाहिए private.key

विकल्प ए

मजबूत सुरक्षा, फिर भी जब सर्वर पुनरारंभ होता है, तो एन्क्रिप्टेड-प्राइवेट के लिए पासफ़्रेज़ में मैन्युअल रूप से टाइप करना होगा

विकल्प बी

मध्यम सुरक्षा, और ए / सी के बीच शायद अच्छा संतुलन

विकल्प सी

कमजोर सुरक्षा, फिर भी एन्क्रिप्ट नहीं किए गए के लिए संकेत नहीं private.key पदबंध