通过 puppet 分发 Apache SSL 证书是不是一个坏主意?这样做是否不安全?有没有更好的方法将 SSL 证书分发到大量服务器?
答案1
我以前见过这种做法。它不安全程度取决于你的网络/目标服务器。只有你知道。你是在安全网络上传输这些文件吗?如果是这样,你应该没问题。但我们无法保证这一点。为什么不写一个简单的 ssh 脚本来分发它们呢?这就是我推荐的。或者写一个脚本从中央服务器下载证书并通过 puppet 分发脚本。只是一个想法。
编辑:因为有些混乱。我并不是说 Puppet/SSH 更安全。但是如果您担心未经授权的访问,请确保一切都是安全的。使用您分发的自定义 SSH 脚本最容易做到这一点。
答案2
这太老了,但我还是要回答。
您可以使用 eyaml 加密私钥,然后让 puppet 进行安装。这样,您就可以确保密钥数据即使在 hiera 上也是加密的,并且在代理运行时安全地传送到节点。