如何在不存储私钥的情况下为Apache配置SSL？

Question

广泛认可的用于Apache的SSL配置是指向证书和私钥的位置。我们是否可以在不将私钥存储在文件中的情况下配置SSL，而是将其保存在内存中？

Answer 1

您可以使用Keywhiz来执行以下操作：

tmpfs Keysync是一个

客户端，它使用带有客户端证书的mTLS从Keywhiz服务器检索秘密，将它们存储在tmpfs中。

以文件的形式呈现秘密使Keywhiz与几乎所有的软件兼容。在Keywhiz管理之外，秘密的使用者只需要知道如何读取文件。

Keysync仅将所有机密存储在内存中(通过tmpfs)，并且从不将其持久存储到磁盘。如果服务器断电，则将从该服务器安全地删除所有机密。

Keysync的设计减少了Keywhiz服务器的中断，因为所有必要的秘密都存储在本地，即使Keysync进程重新启动也可以访问。仅在服务器重新启动时才需要完全同步密钥。