развертывания? Вот есть у меня докер-образ для nginx, куда монтируется папка с сертификатами. Это ок, но как _безопасно и автоматически_ (без ручного копирования через sftp, например) поместить сертификаты на хост -сервер?
Если платформа поддерживает, то используй write-only секреты.
Hashicorp vault?
я когда-то, кстати, писал тулзу, которая может шифровать файлики для группы людей/серверов основываясь на rsa ключах ssh`/`sshd. Бонус подхода в том, что он 0 setup - эти ключи давно уже раскатаны по всем серверам и у каждого админа есть своя база данных в known_hosts. Ну требования к security у сторажда получаются сильно ниже, ибо система которая ключи распространяет может их в лучшем лучае только ротировать, но не может расшифровать. Мне всё лень это говно с питона на go переписать и отправить на security аудит, чтоб можно было заопенсорсить-с.
Обсуждают сегодня