Usando o fantoche para distribuir certificados SSL do Apache

Eu já vi isso antes. É tão inseguro quanto seus servidores de rede / destino o fazem. Só você sabe disso. Você está transmitindo isso através de uma rede segura? Se assim for, você deve estar bem. Mas não podemos garantir isso. Por que não escrever um simples script ssh para distribuí-los? Isso é o que eu recomendaria. Ou escreva um script para baixar o certificado de um servidor central e distribuir o script via fantoche. Apenas uma ideia.

EDIT: Desde há alguma confusão. Eu não estou dizendo que o Puppet / SSH é mais seguro. Mas se você estiver preocupado com o acesso não autorizado, garanta que tudo esteja seguro. Isso é mais facilmente feito com um script SSH personalizado que você distribui.

Isso é muito antigo, mas vou responder de qualquer maneira.

Você pode criptografar chaves privadas usando o eyaml e permitir que o fantoche faça a instalação. Dessa forma, você tem certeza de que os dados da chave são criptografados mesmo no hiera e são entregues com segurança ao nó enquanto o agente é executado.