通过puppet发布Apache SSL证书是不是一个好主意? 这样做没有安全感吗? 有没有更好的方式分发SSL证书到大量的服务器?
我以前见过这个。 它只是像你的networking/目的地服务器那样不安全。 只有你知道。 你是通过安全的networking传输吗? 如果是这样,你应该没问题。 但是我们不能保证这一点。 为什么不写一个简单的SSH脚本来分发它们? 这就是我会推荐的。 或者写一个脚本从中央服务器下载证书,并通过木偶分发脚本。 只是一个想法。
编辑:由于有一些困惑。 我不是说Puppet / SSH更安全。 但是,如果您担心未经授权的访问,请确保一切安全。 这很容易通过您分发的自定义SSH脚本完成。
这太旧了,但我要回答。
你可以使用eyamlencryption私钥,让木偶做安装。 通过这种方式,您可以确保密钥数据即使在hiera上也被encryption,并在代理运行时安全地传递到节点。