Защита ключей SSL (для веб-приложений) с Puppet и Hiera

Question

Я хотел бы знать, что является лучшим способом защиты SSL-ключей и сертификатов для веб-приложений. Я использую шаблон ролей/профилей. Ниже приводится сценарий:

• У меня есть веб-приложение. Существует модуль Puppet, который устанавливает приложение. Этот модуль также устанавливает ключи SSL и сертификаты, необходимые для его запуска. Эти файлы фиксируются в одном и том же репозитории (который небезопасен) в каталоге приложений/файлов и затем помещаются в нужные места с использованием типа file.
• Существует манифест профиля, который объединяет стек для этого приложения - установку и настройку apache, установку и настройку memcached, установку php и настройку приложения с использованием вышеуказанного модуля.

Теперь ключи SSL и сертификаты проверяются в одном и том же репо, и это, вероятно, не самый лучший способ сделать это. Я рассматриваю возможность использования модуля hiera-eyaml, а затем зашифрованную версию этих сертификатов и ключей в файле hiera.

Мне просто интересно, так ли это делает большинство людей? Или есть лучшие способы справиться с этим?

Answer 1

В настоящее время я использую hiera-eyaml по проектам. Мы используем шифрование PKCS, предоставляем всем открытый ключ, чтобы они могли вносить изменения, а закрытый ключ существует только для марионеточного мастера и безопасного резервного копирования. Он только что работал после того, как мы получили настройку, каждый быстро привык к использованию инструментария для шифрования значений.