Puppet과 함께 대체 CA (Microsoft Certificate Services처럼) 활용

10

꼭두각시 생태계가 자체 CA가 아닌 기존 Microsoft Enterprise CA를 활용할 수 있는지 여부를 조사하고 있습니다.

꼭두각시는 모든 시스템이 "표준 SSL"이라고 선전하기 때문에 꼭두각시를 많이 변경하지 않고도이 작업을 수행 할 수 있다고 생각합니다. 그러나 꼭두각시를 편집하여 기업에 적절하게 전화하지 않으면 큰 수동 두통이 발생할 수 있습니다. CA.

아무도 전에 이것을 시도 했습니까? "여기는 용이 되세요, 물러서세요!" 상태?

ssl-certificate  puppet  certificate-authority 
피터 그레이스
소스
3
이전에는이 ​​작업을 수행하지 않았지만이 방법을 사용하면 AD의 하위 CA 인증서를 작성하고 puppetmaster SSL 디렉토리를 해당 파일로 미리 채울 수 있습니다. 그리고 희망.
sysadmin1138
인증서 발급을 어떻게 기대하십니까? 꼭두각시 클라이언트가 어떻게 든 독자적으로 요청할 것을 기대하고 있습니까?
Zoredache

답변:

2

꼭두각시의 인증서 유효성 검사 및 계층 동작은 실제로 표준 SSL이지만 표준의 일부 구현입니다 . 더 복잡한 배포에 대한 지원을 개선하기 위해 오랫동안 기능 요청이 있습니다.

인증서 발급 및 승인을 AD 인증서 서비스 시스템으로 옮기고 puppet cert sign다시 입력하지 않는 것이 목표라면 소프트웨어 개발 작업 없이는 운이 나쁠 것입니다.

클라이언트는 Puppet의 자체 REST API를 사용하여 인증서 요청, 서명 된 인증서 가져 오기, AIA 및 CRL 액세스 등을 처리합니다. 해당 API 호출과 AD 인증서 서비스 RPC 액세스 지점간에 풀을 구현해야합니다.

그러나 AD CS 루트에서 Puppet 인증서가 트러스트 체인에 있는지 확인하려는 경우 sysadmin1138의 권장 사항이 제대로 작동해야합니다. 당신).

Puppet 클라이언트는 중간 Puppet CA를 루트 CA (루트에 대한 지식이 없어도 작업 유효성 검사를 생성 함) 인 것처럼 처리하지만 실제 루트 CA의 유효한 하위 항목입니다.

셰인 매든
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.