Stockage de la key privée RSA non chiffrée

Nous avons notre infrastructure sur amazon ec2. Parce que nous sums en croissance, nous configurons une image basique AMI de server Web que nous utiliserons pour lancer de nouveaux servers dont nous en avons besoin.

Le problème principal est que lorsque la machine démarre, elle ne lance pas httpd car elle request la phrase de passe de la key privée du certificate.

Je considère l'option de stockage de la key privée non cryptée (sans phrase de passe). Je sais si quelqu'un obtient la key peut l'utiliser en mon nom, mais ma question est de savoir comment peuvent-ils get la key?

Nous avons un mot de passe fort pour l'user ssh et ensuite pour l'user root. La key n'aura d'permissions que pour l'access racine.

Existe-t-il d'autres moyens que ssh que quelqu'un peut pirater sur le server et get la key privée?

Connaissez-vous ou travaillez-vous pour une entreprise qui stocke effectivement ses keys non chiffrées?

Merci beaucoup

Toute personne ayant un access physique à la machine en cours d'exécution (ou le matériel hôte) pourrait accéder à la key non cryptée. Sinon, à condition de définir correctement les permissions de file, cela prendrait un compromis complet de la security des machines (exécution de code à distance + exécution de privilège ou similaire) pour lire la key privée. Étant donné que ce serait une mauvaise chose de toute façon, le stockage de la key privée non chiffrée est bien.

Je vous suggère de vous assurer que toutes les keys stockées sont spécifiques à l'hôte plutôt que globales ou spécifiques à l'user, de sorte que, dans le cas où une machine unique serait compromise, il serait facile de limiter les dégâts.

Ce que l'autopopulation dit est proche, mais pas entièrement précis, si vous configurez correctement, pas tout le monde a access au certificate.

Consultez la réponse officielle d'Apache pour ce faire ici .