自动管理多台服务器上的 SSL 证书……好还是坏

自动管理多台服务器上的 SSL 证书……好还是坏

我们正在使用 puppet 来管理一组 Ubuntu 机器,并且很快将要求这些服务器共享一个通用 SSL 证书,以便通过 HTTPS 为网站提供服务。当然,我们希望使用 puppet 来管理证书,但我们意识到将其放在 VCS(puppet master 从中获取模块)中可能不是一个好主意 — 因为这存在安全隐患。

有人知道还有其他更好的解决方案吗?

答案1

披露:我是 Puppet 的开发人员之一。

一般做法是使用提供内容的特殊文件服务器安装,然后对其设置 ACL,只允许特定系统获取文件。这样您就可以使用规范,而source => 'puppet://...'不必让它来自与其他模块相同的位置。

您可能还会查看hiera-gpg模块,因为记录在这里来源这里。这在内容曝光方面提供了一定的保护,因此只有经过批准的人和对 Puppet master 有足够访问权限的人才能阅读它,他们可以破解代码来获取数据。

相关内容