<div dir="ltr">HI<div><br></div><div>isn't this a bit futile, if they can get onto the box that has nginx they can get either the private key or secret to get the private key.</div><div><br></div><div>safer would be to make it that you need human interact to start nginx.</div><div><br></div><div>But till a memory dump of the app would get you the private key.</div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, 16 Nov 2018 at 00:03, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<br>
On Wed, Nov 14, 2018 at 12:17:57PM -0800, Roger Fischer wrote:<br>
<br>
> Hello,<br>
> <br>
> does NGINX support any mechanisms to securely access the private <br>
> key of server certificates?<br>
> <br>
> Specifically, could NGINX make a request to a key store, rather <br>
> than reading from a local file?<br>
> <br>
> Are there any best practices for keeping private keys secure?<br>
> <br>
> I understand the basics. The key file should only be readable by <br>
> root. I cannot protect the key with a pass-phrase, as NGINX <br>
> needs to start and restart autonomously.<br>
<br>
You actually can protect the key using a passphrase, see <br>
<a href="http://nginx.org/r/ssl_password_file" rel="noreferrer" target="_blank">http://nginx.org/r/ssl_password_file</a>.  Though this might not be <br>
the best idea due to basically the same security provided, while <br>
involving higher complexity.<br>
<br>
Also, you can use "engine:..." syntax to load keys via OpenSSL <br>
engines.  This allows using various complex key stores, including <br>
hardware tokens, to access keys, though may not be trivial to <br>
configure.<br>
<br>
-- <br>
Maxim Dounin<br>
<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br>
</blockquote></div>