<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto">Hi,<div><br></div><div>You might want to consider something like OpenResty, which allows for serving certificates on the fly with Lua logic. You can use this to fetch cert/key material via Vault or some other secure data store that can be accessed via TCP (or you could also keep the encrypted private key on-disk and fetch the secret at worker initialization via some Lua logic). See <a href="https://github.com/openresty/lua-resty-core/blob/master/lib/ngx/ssl.md">https://github.com/openresty/lua-resty-core/blob/master/lib/ngx/ssl.md</a> for an example of the former. <br><div dir="ltr"><br>On Nov 14, 2018, at 12:17, Roger Fischer <<a href="mailto:roger@netskrt.io">roger@netskrt.io</a>> wrote:<br><br></div><blockquote type="cite"><div dir="ltr"><span>Hello,</span><br><span></span><br><span>does NGINX support any mechanisms to securely access the private key of server certificates?</span><br><span></span><br><span>Specifically, could NGINX make a request to a key store, rather than reading from a local file?</span><br><span></span><br><span>Are there any best practices for keeping private keys secure?</span><br><span></span><br><span>I understand the basics. The key file should only be readable by root. I cannot protect the key with a pass-phrase, as NGINX needs to start and restart autonomously.</span><br><span></span><br><span>Thanks…</span><br><span></span><br><span>Roger</span><br><span></span><br><span>_______________________________________________</span><br><span>nginx mailing list</span><br><span><a href="mailto:nginx@nginx.org">nginx@nginx.org</a></span><br><span><a href="http://mailman.nginx.org/mailman/listinfo/nginx">http://mailman.nginx.org/mailman/listinfo/nginx</a></span></div></blockquote></div></body></html>