我想知道为web应用程序保护SSL密钥和证书的最佳方法是什么。我正在使用角色/配置文件模式。这是一个场景:
- 我有一个网络应用程序。有一个Puppet模块用于设置应用程序。此模块还设置运行所需的SSL密钥和证书。这些文件被提交到app/files目录下的同一个repo中(这是不安全的),然后使用
file
类型放置在正确的位置 - 有一个概要文件清单将这个应用程序的堆栈放在一起——安装和设置apache,安装和设置memcached,安装php,并使用上面的模块设置应用程序
现在SSL密钥和证书在同一个repo中进行检查,这可能不是最好的方法。我正在考虑使用hiera eyaml模块,然后将这些证书和密钥的加密版本放在hiera文件中。
我只是想知道大多数人是不是都是这样做的?或者有更好的处理方法吗?
我目前在项目中使用hiera-eyaml
。我们使用PKCS加密,为每个人提供公钥,以便他们可以进行修改,私钥只存在于伪主机和安全备份上。在我们设置好它之后,它就开始工作了,每个人都很快习惯了使用工具来加密值。