Il y a quelques microservices qui communiquent entre eux avec des messages cryptés rsa. Les clés privées sont actuellement dans des fichiers, quelle est la meilleure pratique pour stocker les clés privées et publiques dans les conteneurs ? La solution actuelle est dans le /etc/ssl, mais c'est un peu difficile à gérer et pas très sûr.
Réponse
Trop de publicités?
Je ne connais pas votre cas d'utilisation exact, mais vous pourriez envisager de jeter un coup d'œil à Hashicorp Vault. Il a un Plugin secrets PKI qui vous permet de stocker des paires de clés publiques/privées. Si cela correspond à votre cas d'utilisation, cela pourrait être une bonne lecture, car au moins quelqu'un d'autre a pensé à les stocker de manière sécurisée.
L'avantage du coffre-fort est qu'en théorie (cela dépend du plugin utilisé), vous pouvez créer une situation où les clés privées sont entièrement gérées par le coffre-fort et où vos messages sont authentifiés par le coffre-fort. Il sera alors difficile pour un pirate d'obtenir vos clés privées. Cependant, vous pourriez avoir besoin d'écrire votre propre plugin de coffre-fort pour que cela fonctionne complètement avec votre application.
