Как безопасно подсунуть opvn сертификат в докер контейнер?

Question

[Антон Устюжанин]

Использую для деплоя bitbucket pipeline со своим паблик контейнером, на базе образа debian с предустановленными shh и openvpn клиентом.
Как безопасно хранить ovpn конфиг, или как его передать в контейнер, чтобы можно было деплоить в контур закрытый vpn-ом.
bitbucket ssh ключи хранит как секреты, а вот ovpn нет.
Так же можно хранить переменные как секреты (что тоже вариант) если конфиг утечет то пароль нет.
Кто как деплоит в защищенные контуры с btbucket?