自动管理多台服务器上的 SSL 证书……好与坏

Question

我们正在使用 puppet 来管理一组 Ubuntu 机器，并且很快就会要求这些服务器中的每一个都共享一个通用的 SSL 证书，以便通过 HTTPS 为站点提供服务。自然，我们希望使用 puppet 来管理证书，但意识到将其放入 VCS（从 puppet master 获取其模块的地方）可能不是一个好主意——因为存在安全隐患。

有没有人知道更好的解决方案？

Answer 1

披露：我是 Puppet 的开发者之一。

通常的做法是使用提供内容的特殊文件服务器安装，然后在其上设置一个 ACL，仅允许特定系统获取文件。这允许您使用source => 'puppet://...'规范而不必让它与其他模块来自同一个地方。

您也可以查看该hiera-gpg模块，如此处所述，源here。这允许在暴露方面对内容进行一些保护，以便只有获得批准的人和拥有足够访问 Puppet master 权限的人才能破解代码以获取数据，才能阅读它。