複数のサーバーでのSSL証明書の自動管理…良いか悪いか
Puppetを使用してUbuntuボックスのグループを管理しており、HTTPSを介してサイトにサービスを提供するために、まもなくこれらの各サーバーが共通のSSL証明書を共有する必要があります。当然、Puppetを使用して証明書を管理したいのですが、セキュリティ上の影響があるため、VCS(Puppetマスターがモジュールを取得する場所)に証明書を配置することはお勧めできません。
誰かが知っているより良い解決策はありますか?
開示:私はPuppetの開発者の1人です。
一般的な方法は、コンテンツを提供する特別なファイルサーバーマウントを使用し、その上にACLを設定して、特定のシステムのみがファイルにアクセスできるようにすることです。これにより、他のモジュールと同じ場所から取得しなくても、source => 'puppet://...'仕様を使用できます。
ここに記載 、 ここにソース のように、hiera-gpgモジュールを調べることもできます。これにより、露出の観点からコンテンツをある程度保護できるため、承認された人と、データを取得するためにコードをハッキングできるPuppetマスターに十分にアクセスできる人だけがコンテンツを読み取ることができます。