Разрабы, пишите документацию

у меня генератор самоподписанных сертификатов обычно идет вместе со всеми утилитами, где нужны сертификаты :) Потому что иначе те, кто будут реюзать эту либу, сразу же встанут перед рядом никак не разрешимых вопросов. Например, обычно совершенно никто (включая программистов) не имеет ни одной идеи, что такое ассиметричное шифрование, и объяснять им суть открытых и закрытых ключей нереально. Можно только прислать зипку с файлами и сказать «на, здесь магия, которая заставляет паровоз ехать вперёд». Кода магической зипки нету, начинаются приседания и крики «ку» на админов, «дайте нам ключи» - как будто бы админы могут на этот вопрос ответить (конечно же, точно так же не могут). Админам вообще на всё нужна инструкция, и пока «программисты не напишут документацию» в которой будет «точная последовательность действий, которые нужно выполнить на сервере чтобы ваш софт начал работать», они пальца о палец не ударят. Так что наиболее правильный выход - совершенно везде бандлить магическую прогу, которая будет рожать зипку с сертификатами. Причем и вызывающий и принимающий код должен быть написан так, чтобы не требовал от пользователя понимания далее чем «этот файл показывать всем, а вот этот - не всем иначе жопа смерть». Так что в общем я понимаю, зачем авторы соорудили образ с CA и скорее одобряю, чем нет. Наверное, тоже так сделаю в будущем.

я сильно сомневаюсь что админ который в душе не знает что такое сертификат и зачем он нужен будет тыкать палкой распределенную директорию.

но в любом случае - блин, документацию ж тоже можно приложить в конце концов. А то я запарился сравнивать различия того что получаю из шефа с тем что делает их сборка. Кривой генератор шефа (вернее не шефа, просто один из гемов, EaSSL) кстати тоже добавил радости, особенно двумя хардкодами, один из которых еще можно было грязно обойти, а вот второй никак совсем. Завтра буду патчи слать этим героям

я сильно сомневаюсь что админ который в душе не знает что такое сертификат и зачем он нужен будет тыкать палкой распределенную директорию.

тебе просто везло с админами

имхо распределенная директория подразумевает некоторое понимание основ, хотя бы на уровне что такое кластер, кворум, зачем нужна защита соединения, чем авторизация от аутентификации отличается и т.п. Админа который этого не знает я бы к директории не подпустил

ну я хз, все чаще сталкиваюсь с тем что абы кто занимается абы чем

если яб от каждого такого случая офигевал то давно стал бы фиговым деревом

я сильно сомневаюсь что админ который в душе не знает что такое сертификат и зачем он нужен будет тыкать палкой распределенную директорию.

да кто ж тебя спрашивать будет :) Начальство даст готовый продукт, прибитый гвоздями к распределенной директории, выдаст пендельной тяги «чтобы ко вчера было развернуто», времени на изучение не выдаст, дальше как хочешь так и вертись. И дальше у тебя возникнет закономерное желание скачать уже готовый архив с Докерхаба, чтобы оно «как-то само» заработало побыстрей, дабы отчитаться перед начальством и сбосить с себя груз очередной хипстерской поделки

в этом случае лучше уж тогда делать этот CA так, что тот кто устанавливает приложение его в глаза не видел. Просто впихать в установщик. Я сейчас именно так и собираю, что если есть сертификат свой, то можно его поставить, если нет - деплой-скрипт выпишет self-signed с одним CA на все машины и не будет делать юзеру мозг

я работаю с coreos. у меня дома кластер запущен. Уважаемый, можешь написать маленькую статью о том, почему тебе понадобился свой ca, уверен всем понадобится. заранее спасибо.

зачем свой са могу объяснить в трех словах - деплой через шефа. Я юзаю не сам coreos, а отдельный etcd, который разворачивается шефом. Конечно можно туда засандалить весь etcd-ca, но это мягко говоря не айс, лучше проверять тот что юзер дал и если в нем нет скажем serverauth спрашивать выписать ли self. А отсутствие описания что есть bad certificate, помноженное на хардкоды рецепта х509 и гема EaSSL, дает просто непередаваемое ощущенин где-то сзади внизу.

Короче знатно вчера полыхнул, прям кресло дымилось, ща чуть успокоился.

если нужно сделать что-то 1 раз - можно и контейнер. но не давать при этом стандартного решения с

пару строк что нужны client/serverAuth и IP-адрес в SANе

это очень-очень-очень по скотски.

Да просто ну ок, возьму я etcd-ca. И ещё nginx-ca. И haproxy-ca. И ещё 10 контейнеров того же плана. Ну нахрена если либо юзер может предоставить сертификат, либо я могу их генератор просто гемом из шефа без лишних контейнеров.