パスフレーズで保護された SSL キーを使用した Apache 2 での logrotate によって引き起こされる障害

Question

Debian に Apache 2 をインストールし、mod_ssl をインストールしています。サーバーの秘密キーは、起動時に入力する必要があるパスフェーズによって保護されています。エラー ログとアクセス ログは、毎週ログローテーションの対象となります。logrotate の実行直後に、Apache がパスフレーズ関連のエラーでクラッシュすることがわかりました。

logrotate がログのアーカイブ後に Apache への SIGHUP を起動することは理解していますが、これがリロードとその後のサーバー キーのパスフレーズの取得失敗の原因になっているのではないかと考えています。

さて、私の理論はこれで十分ですが、ここで質問があります。

logrotate の実行時にクラッシュしないように、(パスフレーズをファイルのどこかに保存せずに) SSL サーバーキーをパスフレーズで保護できるように Apache を構成する「ベストプラクティス」の方法はありますか?

サーバーの起動時にユーザー入力を要求するのは問題ありませんが、再起動やリロードは要求しません。

Answer 1

1 つのオプションは、Apache が提供するログ ローテーション ツールを使用することです。システムの logrotate とは構成が少し異なりますが、パイプで動作するため、Apache を再起動せずにファイルを移動できます。

Answer 2

使用できます クロノログ, 、ため息をつく必要はありません。以下に例を示します。

CustomLog "| /usr/sbin/cronolog /pathtologs/%Y_%m/sitename.com-%Y%m%d.log" combined

Answer 3

次のコマンドを使用してパスフレーズをオフにすることもできます。

openssl rsa -in example.tld.key -out example.tld.key