Я хотел бы знать, как лучше всего защитить ключи и сертификаты SSL для веб-приложений. Я использую шаблон ролей/профилей. Вот сценарий:
- У меня есть веб-приложение. Существует модуль Puppet, который настраивает приложение. Этот модуль также устанавливает ключи и сертификаты SSL, необходимые для его работы. Эти файлы фиксируются в том же репозитории (что небезопасно) в каталоге app/files, а затем размещаются в нужных местах с использованием типа
file
. - Существует манифест профиля, который объединяет стек для этого приложения — установите и настройте apache, установите и настройте memcached, установите php и настройте приложение, используя указанный выше модуль.
Теперь ключи и сертификаты SSL проверяются в одном и том же репо, и это, вероятно, не лучший способ сделать это. Я рассматриваю возможность использования модуля hiera-eyaml, а затем помещаю зашифрованную версию этих сертификатов и ключей в файл hiera.
Мне просто интересно, так ли это у большинства людей? Или есть лучшие способы справиться с этим?