我刚刚为我的 Heroku 部署应用购买了 SSL 证书。正在关注their instructions ,我下载了证书和私钥,将它们保存在 server.crt 和 server.key 文件中(其中包含一些 RapidSSL CA 交易),现在正计划推送和部署。担心的是,我的 github 存储库是公开的,我觉得将我的“私钥”和证书推送到公共(public)站点是个坏主意。有点违背了 SSL 的目的,对吧?
但是,如果不发布此信息,我还能如何让它工作呢?我是 SSL 和编码的新手,我只是非常不想放弃我刚刚花了很多钱的安全性,因为我不明白这一切是如何工作的。
抱歉,如果这个问题不是很代码化。只是不知道去哪里问比较好。
编辑——我现在正在查看 Heroku 文档,上面说要添加一个 Heroku SSL 附加组件,然后只需键入
heroku certs:add server.crt server.key
让 heroku 获取文件并使用 SSL 证书。但这并没有改变我的 PUBLIC 存储库中有两个带有 PRIVATE 安全信息的文件的问题。我只是将它们添加到 .gitignore 还是什么?
最佳答案
您不应将为 SSL 创建的任何文件检查到源代码管理(server.crt、server.key 等)中,也不应将它们推送到 Heroku。正如 Heroku 的文档所述,一旦您添加了 SSL,您应该使用 certs 命令行来添加它们。
关于ruby-on-rails - SSL、Github 和 Heroku——插入安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13127837/