Ich versuche, die Client-Zertifikatsüberprüfung in einer OpsWorks HAProxy-Instanz zu verwenden. Die Frage, die sich mir stellt (und die wahrscheinlich ein Anfängerproblem ist), ist, wie ich meinen privaten SSL-Schlüssel für die Instanz bereitstellen soll, ohne ihn zu sehr preiszugeben.
Der private Schlüssel kann in einer Elastic Load Balancer-Instanz festgelegt werden, diese unterstützt jedoch nicht das Festlegen eines Client-Zertifikats.
Es ist auch möglich, den Schlüssel in einer OpsWorks-App-Definition festzulegen, aber das scheint für die HAProxy-Instanz keine Option zu sein.
Wie erfolgt die verantwortungsvolle Bereitstellung von SSL-Schlüsseln in OpsWorks normalerweise?
Antwort1
Angenommen, Sie möchten den ELB vollständig umgehen und die gesamte SSL-Terminierung auf Ihrer HAProxy-Instanz handhaben ... Sie könnten dies mit einem benutzerdefinierten Chef-Kochbuch und Datei-Upload tun oder dies aus einem S3-Bucket mit entsprechend festgelegten Berechtigungen oder einem Shell-Skript herunterladen, das von einem sicheren Standort herunterlädt. Alle drei davon basieren auf der Annahme, dass Sie einen Mechanismus verwenden, um einen Prozess lokal zu starten und die Einstellung des Zertifikats zu schreiben/konfigurieren/auszuführen.