服务器访问的中央证书管理

Question

我有责任认识到类似的情况：

我们是一家即将到来的创业公司，扩张速度相当快。我们的开发团队几乎每个月都会增加3-5个开发人员。我们的基础设施现在由20个ubuntu网络服务器组成，有几个门户软件系统运行基于php的应用程序(如wordpress、joomla等)或基于spring的后端技术(java)。

我们现在大约有35个开发人员在wordpress、joomla (门户网站)或后端工作。

像往常一样，有时有人离开，我们就得改变他所知道的所有密码。

我想换一种方式：

每个开发人员都获得一个登录到服务器的证书。如果有人离开，我们可以很容易地撤销相应的密钥，他将永远无法访问服务器。

是否有任何软件来管理这些证书(如将其复制到所有服务器)？

谢谢你的帮助！

Answer 1

有许多方法可以对此进行归档：

首先，您可以使用一些目录服务，比如OpenLDAP (类似于)。只是当人离开时，不要使用任何本地帐户和阻止ldap帐户。我不确定ldap是否能够处理ssh密钥，但它可以轻松地处理用户帐户(username+password+groups)。

其次，您可以使用一些配置管理工具，比如木偶、cfengine或厨师之类的工具。

最后，我认为最好避免为“普通”开发人员在活动机器上设置帐户。最好有类似于构建/部署机器的工具，并使用不同的工具进行部署/监视/等，这并不要求每个开发人员对每台机器都有帐户。

PS:我相信你是时候考虑雇佣操作人员了。