Sie sind nicht angemeldet.

  • »sharbich« ist männlich
  • »sharbich« ist der Autor dieses Themas

Beiträge: 12

Registrierungsdatum: 24.10.2012

Derivat: Ubuntu

Architektur: 64-Bit PC

  • Nachricht senden

1

12.10.2017, 22:49

CUPS SSL Zertifikat mit PassPhrase Key

Hallo Ihr Lieben,
wenn ich beim Apche2 ein SSL Zertifikat mit PassPhrase Key einrichte unterstützt die Derektive

HTML

1
2
3
<IfModule mod_ssl.c>
SSLPassPhraseDialog exec:/etc/ssl/apache2/apache2.out
</IfModule>
die Möglichkeit die Passwörter für den privaten Schlüssel in einer seperaten Datei zu hinterlegen. So das beim Start des Apache dieser gelesen werden kann. Unterstützt das auch der CUPS? Oder kann CUPS nur Zertifikate ohne Passwörter für den privaten Schlüssel verarbeiten?

Lieben Gruß von Stefan Harbich

2

13.10.2017, 12:28

Soweit ich sehe, nein.
Ich finde darin aber fast noch weniger Sinn als beim Apachen. Willst du das Passwort jedesmal eintippen oder von einem Script ausgeben lassen?
Der einzige "Sicherheitsgewinn" wäre, daß er je nach sonstiger Konfiguration ohne Passwort keine Verbindungen annehmen würde.

Oder was wäre deine Intention?
mir is wurscht

  • »sharbich« ist männlich
  • »sharbich« ist der Autor dieses Themas

Beiträge: 12

Registrierungsdatum: 24.10.2012

Derivat: Ubuntu

Architektur: 64-Bit PC

  • Nachricht senden

3

13.10.2017, 14:05

Hallo Fredl,

meine Intitation ist, dass ich beim starten des CUPS Dienst nicht immer das Passwort des privaten Schlüssel eingeben muß. Sprich das Passwort über ein Script abgefragt wird.

Sollte der private Schlüssel mal in die falschen Hände geraten so kann keiner was damit anfangen.

Liebe Grüße von Stefan Harbich

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »sharbich« (13.10.2017, 15:08)


4

13.10.2017, 16:34

Schön und gut, aber was ist der Zweck des ganzen?
CUPS erzeugt sich sein eigenes SSL-Zertifikat, wenn man ihm keines bereitstellt. Das ist auch nicht Passwort-gesichert. Es geht ja nur um die Verschlüsselung der Verbindung und die Identität des Servers, nicht um den Zugang zum Dienst. Der wird durch einen passwortgeschützten key maximal insofern sicherer, daß er ohne Passwort entweder gar nicht startet, kein SSL anbietet oder keine Verbindungen annimmt. Je nach übriger Konfiguration eben.

Deshalb war die Frage was du mit der Absicherung des keys eigentlich erreichen willst. Ob das Passwort eingetippt oder per Script ausgegeben wird, ist insofern Nebensache. Im Gegenteil, wenn das Passwort von einem Script kommt, das am gleichen Rechner läuft ist es im Fall eines Einbruchs praktisch für die Katz. Wenn es von einem Hardware-Dongle/USB-Stick ausgelesen würde würde ich es verstehen. Aber der müsste dann ja wieder zur rechten Zeit an- und abgesteckt werden.

Es sei denn ich habe die Frage jetzt völlig falsch verstanden.
mir is wurscht