Где хранить SSL-сертификаты для 12-факторного приложения

SSL-сертификат — это (строго говоря) не конфигурация, а файл ресурсов.

То, как вы предоставляете этот актив, зависит от вашего способа хостинга. Но вот несколько вариантов:

Простой способ — интегрировать letsencrypt и использовать certbot, который безопасно и автоматически обрабатывает загрузку сертификатов. letsencrypt имеет некоторые интеграции для некоторых языков (например, у go есть несколько клиентов, которые можно интегрировать в приложение).

Вы можете использовать балансировщик нагрузки и завершить ssl на балансировщике нагрузки. В этом случае вашему приложению не нужно ничего знать о сертификате.

Kubernetes предоставляет секреты, которые могут безопасно хранить сертификаты и копировать эти файлы при развертывании в модуль (упрощенно: модуль — это пакет, тонко обертывающий контейнер Docker, включая ваше приложение).

Kubernetes также может использовать Ingress в качестве LoadBalancer, который завершает ssl.

Другой вариант — использовать хранилище hashicorp. Это служба, которая управляет и распространяет секреты.

Наверняка есть еще варианты и это только намеки. Но безопасное хранение и распространение ssl-сертификатов — непростая задача. Надеюсь, я дал несколько хороших советов.

Я не эксперт по лучшим практикам приложений с 12 факторами; однако из связанной статьи о 12-факторной конфигурации приложения следует, что предписанная практика заключается в использовании переменных среды для определения настраиваемых аспектов программы.

Возможно, переменные окружения SSL_CERT_FILE и SSL_KEY_FILE могут быть прочитаны как пути к соответствующим файлам, чтобы их можно было легко переопределить в разных средах, где файлы могут находиться в разных местах.

Мне лично нравится программное обеспечение, которое «просто работает» без необходимости дополнительной настройки, поэтому вы также можете рассмотреть возможность встраивания сертификата и файлов ключей в сам исполняемый файл (если это возможно), чтобы программа работала «из коробки», но пользователи программы может также указывать альтернативные расположения файлов сертификатов/ключей, если это необходимо среде или конкретному приложению.

Существуют различные виды элементов конфигурации. Мотивация 12-факторных приложений для хранения конфигурации в среде преследует конкретную цель: упростить повторное развертывание в другом месте в новой среде. Таким образом, только те элементы конфигурации могут попасть в среду, которая способствует достижению этой цели. Другие элементы конфигурации, специфичные для домена или приложения, могут оставаться связанными с локальным или технологическим методом конфигурации приложения по выбору.

Похоже, что для сертификатов SSL они не будут меняться от среды к среде, поэтому вы не обязаны хранить их в переменных среды, IMO.