Usando o fantoche para distribuir certificados SSL do Apache

5

É uma má ideia distribuir certificados SSL do Apache via fantoche? É inseguro fazer assim? Existe uma maneira melhor de distribuir certificados SSL para muitos servidores?

    
por Noodles 28.02.2012 / 02:30

2 respostas

2

Eu já vi isso antes. É tão inseguro quanto seus servidores de rede / destino o fazem. Só você sabe disso. Você está transmitindo isso através de uma rede segura? Se assim for, você deve estar bem. Mas não podemos garantir isso. Por que não escrever um simples script ssh para distribuí-los? Isso é o que eu recomendaria. Ou escreva um script para baixar o certificado de um servidor central e distribuir o script via fantoche. Apenas uma ideia.

EDIT: Desde há alguma confusão. Eu não estou dizendo que o Puppet / SSH é mais seguro. Mas se você estiver preocupado com o acesso não autorizado, garanta que tudo esteja seguro. Isso é mais facilmente feito com um script SSH personalizado que você distribui.

    
por 28.02.2012 / 02:46
1

Isso é muito antigo, mas vou responder de qualquer maneira.

Você pode criptografar chaves privadas usando o eyaml e permitir que o fantoche faça a instalação. Dessa forma, você tem certeza de que os dados da chave são criptografados mesmo no hiera e são entregues com segurança ao nó enquanto o agente é executado.

    
por 01.08.2017 / 01:33