Gerenciamento automático do certificado SSL em vários servidores… bom ou ruim

Question

Gerenciamento automático do certificado SSL em vários servidores… bom ou ruim

#1 resposta do (11 votos)

6

Estamos usando o fantoche para gerenciar um grupo de caixas do Ubuntu e, em breve, exigiremos que cada um desses servidores compartilhe um certificado SSL comum para exibir um site em HTTPS. Naturalmente, gostaríamos de usar o fantoche para gerenciar o certificado, mas estamos conscientes do fato de que colocá-lo em um VCS (de onde o mestre de marionetes recebe seus módulos) pode não ser uma ótima idéia - por causa das implicações de segurança. / p>

Existe alguma solução melhor de que qualquer um esteja ciente?

ssl puppet configuration-management ubuntu

por markhellewell 15.02.2012 / 06:18

1 resposta

Tags ssl puppet configuration-management ubuntu

Acesso remoto ao Postgres Como uso a opção de ambiente do supervisord nas seções do programa?

score 11 · Accepted Answer

Divulgação: Eu sou um dos desenvolvedores do Puppet.

A prática geral é usar uma montagem de servidor de arquivos especial que ofereça o conteúdo e, em seguida, ter uma ACL permitindo que apenas os sistemas específicos obtenham os arquivos. Isso permite que você use uma especificação source => 'puppet://...' sem precisar que ela venha do mesmo lugar que os outros módulos.

Você também pode olhar para o módulo hiera-gpg , como documentado aqui , fonte aqui . Isso permite alguma proteção para o conteúdo em termos de exposição, de modo que apenas pessoas aprovadas, e pessoas com acesso suficiente ao mestre Puppet possam hackear o código para obter os dados, possam lê-lo.