多服务器…上SSL证书的自动管理好是坏

Question

我们使用傀儡来管理一组Ubuntu盒，不久将要求每个服务器共享一个通用SSL证书，以便在HTTPS上为站点服务。当然，我们希望使用傀儡来管理证书，但我们意识到，将其放入VCS (傀儡主人获取其模块的位置)可能不是一个好主意--因为这涉及到安全问题。

有什么更好的解决方案吗？

Answer 1

披露:我是木偶的开发人员之一。

一般的做法是使用提供内容的特殊文件服务器挂载，然后在上面有一个ACL，只允许特定的系统访问文件。这允许您使用source => 'puppet://...'规范，而不必让它来自与其他模块相同的地方。

您还可以将hiera-gpg模块看作记录在这里，来源在这里。这允许在曝光方面对内容进行一定程度的保护，这样只有获得批准的人，以及有足够权限访问木偶主人的人，他们才能破解代码以获取数据，才能读取数据。