Распространять SSL-сертификаты Apache через марионетку - плохая идея? Это небезопасно делать так? Есть ли лучший способ распространять сертификаты SSL на множество серверов?
Я видел это раньше. Это настолько небезопасно, насколько это делают ваши сетевые / целевые серверы. Только ты это знаешь. Вы передаете их по защищенной сети? Если это так, с вами ДОЛЖНО быть в порядке. Но мы не можем этого гарантировать. Почему бы не написать простой ssh-скрипт для их распространения? Вот что я бы порекомендовал. Или напишите сценарий для загрузки сертификата с центрального сервера и распространения сценария через марионетку. Просто идея.
РЕДАКТИРОВАТЬ: Поскольку есть некоторая путаница. Я НЕ говорю, что Puppet / SSH более безопасны. Но если вас беспокоит несанкционированный доступ, убедитесь, что все в безопасности. Это проще всего сделать с помощью специального сценария SSH, который ВЫ распространяете.
Это слишком старо, но я все равно отвечу.
Вы можете зашифровать закрытые ключи с помощью eyaml и позволить puppet выполнить установку. Таким образом, вы уверены, что ключевые данные зашифрованы даже на hiera и безопасно доставляются на узел во время работы агента.