SSL-сертификат — это (строго говоря) не конфигурация, а файл ресурсов.
То, как вы предоставляете этот актив, зависит от вашего способа хостинга. Но вот несколько вариантов:
Простой способ — интегрировать letsencrypt и использовать certbot, который безопасно и автоматически обрабатывает загрузку сертификатов. letsencrypt имеет некоторые интеграции для некоторых языков (например, у go есть несколько клиентов, которые можно интегрировать в приложение).
Вы можете использовать балансировщик нагрузки и завершить ssl на балансировщике нагрузки. В этом случае вашему приложению не нужно ничего знать о сертификате.
Kubernetes предоставляет секреты, которые могут безопасно хранить сертификаты и копировать эти файлы при развертывании в модуль (упрощенно: модуль — это пакет, тонко обертывающий контейнер Docker, включая ваше приложение).
Kubernetes также может использовать Ingress в качестве LoadBalancer, который завершает ssl.
Другой вариант — использовать хранилище hashicorp. Это служба, которая управляет и распространяет секреты.
Наверняка есть еще варианты и это только намеки. Но безопасное хранение и распространение ssl-сертификатов — непростая задача. Надеюсь, я дал несколько хороших советов.
person
mbuechmann
schedule
15.02.2018