使用 Puppet 和 Hiera 保护 SSL 密钥(用于生产 Web 应用程序)
Securing SSL Keys (for production web application) with Puppet and Hiera
我想知道保护 Web 应用程序的 SSL 密钥和证书的最佳方法是什么。我正在使用 roles/profiles 模式。场景如下:
- 我有一个网络应用程序。有一个用于设置应用程序的 Puppet 模块。该模块还将它所需的 SSL 密钥和证书设置为 运行。这些文件在 app/files 目录下的同一个回购协议(不安全)中提交,然后使用
file 类型放置在正确的位置。
- 有一个配置文件清单将此应用程序的堆栈放在一起 - 安装和设置 apache、安装和设置 memcached、安装 php 并使用上述模块设置应用程序。
现在 SSL 密钥和证书在同一个 repo 中检查,这可能不是最好的方法。我正在考虑使用 hiera-eyaml 模块,然后将这些证书和密钥的加密版本放入 hiera 文件中。
我只是想知道这是否是大多数人这样做的方式?或者有更好的处理方法吗?
我目前在项目中使用 hiera-eyaml。我们使用PKCS加密,给每个人public密钥,让他们可以修改,私钥只存在于puppet master上,安全备份。在我们设置好之后它就开始工作了,大家很快就习惯了使用这个工具来加密值。
我想知道保护 Web 应用程序的 SSL 密钥和证书的最佳方法是什么。我正在使用 roles/profiles 模式。场景如下:
- 我有一个网络应用程序。有一个用于设置应用程序的 Puppet 模块。该模块还将它所需的 SSL 密钥和证书设置为 运行。这些文件在 app/files 目录下的同一个回购协议(不安全)中提交,然后使用
file类型放置在正确的位置。 - 有一个配置文件清单将此应用程序的堆栈放在一起 - 安装和设置 apache、安装和设置 memcached、安装 php 并使用上述模块设置应用程序。
现在 SSL 密钥和证书在同一个 repo 中检查,这可能不是最好的方法。我正在考虑使用 hiera-eyaml 模块,然后将这些证书和密钥的加密版本放入 hiera 文件中。
我只是想知道这是否是大多数人这样做的方式?或者有更好的处理方法吗?
我目前在项目中使用 hiera-eyaml。我们使用PKCS加密,给每个人public密钥,让他们可以修改,私钥只存在于puppet master上,安全备份。在我们设置好之后它就开始工作了,大家很快就习惯了使用这个工具来加密值。