Я хотел бы знать, что является лучшим способом защиты SSL-ключей и сертификатов для веб-приложений. Я использую шаблон ролей/профилей. Ниже приводится сценарий:Защита ключей SSL (для веб-приложений) с Puppet и Hiera
- У меня есть веб-приложение. Существует модуль Puppet, который устанавливает приложение. Этот модуль также устанавливает ключи SSL и сертификаты, необходимые для его запуска. Эти файлы фиксируются в одном и том же репозитории (который небезопасен) в каталоге приложений/файлов и затем помещаются в нужные места с использованием типа
file
. - Существует манифест профиля, который объединяет стек для этого приложения - установку и настройку apache, установку и настройку memcached, установку php и настройку приложения с использованием вышеуказанного модуля.
Теперь ключи SSL и сертификаты проверяются в одном и том же репо, и это, вероятно, не самый лучший способ сделать это. Я рассматриваю возможность использования модуля hiera-eyaml, а затем зашифрованную версию этих сертификатов и ключей в файле hiera.
Мне просто интересно, так ли это делает большинство людей? Или есть лучшие способы справиться с этим?
Я считаю, что альтернатива, которую вы набросали, действительно обычная практика. Ваши зашифрованные данные должны оставаться * где-то *, а Puppet потребуется средство для его расшифровки. Следовательно, это, скорее всего, самый прямой подход. –