Puppet CA 및 인증서를 수동으로 만드는 방법은 무엇입니까?

13

Puppet에서 사용할 수있는 CA를 수동으로 만드는 방법 (puppet ca 명령 대신 openssl 사용)이 궁금합니다. 목표는 해당 CA의 스크립트 작성을 통해 puppet cert 명령을 통해 인증서를 작성하는 대신 여러 puppetmaster에 배치하는 것입니다.

그것을하는 방법에 대한 아이디어가 있습니까? https://wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster 와 같은 것을 찾을 수 없었지만 작동하지 않습니다-CA 및 클라이언트 인증서를 생성하고 puppetmaster에 적용하면 다음과 같이 불평합니다.

Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key.
Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64
Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both the master and the agent and then start a puppet run, which will automatically regenerate a certficate.
Feb 16 09:35:20 test puppet-master[81728]: On the master:
Feb 16 09:35:20 test puppet-master[81728]:   puppet cert clean test
Feb 16 09:35:20 test puppet-master[81728]: On the agent:
Feb 16 09:35:20 test puppet-master[81728]:   rm -f /var/puppet/ssl/certs/test.pem
Feb 16 09:35:20 test puppet-master[81728]:   puppet agent -t
ssl  puppet  certificate  openssl 
SpankMe
소스
다니엘 t.
고마워, 그러나 불행히도, 그것은 방법을 보여주지 않고서 만 가능하다고 말합니다. 또한 Puppet의 이전 버전을 나타냅니다.
SpankMe
@SpankMe 왜 그냥 사용하지 puppet cert generate않습니까?
Shane Madden
3
@Shane Popen 객체를 사용하여 스크립트에서 시스템 명령을 래핑해야하기 때문에 텍스트 구문 분석을 통해 출력을 검증해야합니다. 단순히 openssl 라이브러리를 사용하는 것보다 유연성이 적고 '코셔'이며 서버에 꼭두각시 설치가 필요합니다 설치되어서는 안되는 곳-꼭두각시의 CA 및 클라이언트 인증서를 미리 생성 한 다음 적절한 컴퓨터에 배포하고 싶습니다.
SpankMe

답변:

1

에이전트가 사전 생성 된 클라이언트 인증서를 사용하지 않습니다. 대신 새 키로 CSR을 작성 했으므로 마스터는 에이전트를 신뢰하지 않습니다.

파일이

`puppet agent --configprint ssldir`/{certs,private_keys}/`puppet agent --configprint certname`

미리 생성하여 마스터에 넣은 것과 동일합니다. (마스터는해야 하지 에이전트의 개인 키의 복사본을받을 수 있습니다.)

펠릭스 프랭크
소스
-1

왜 인증서를 생성하는 스크립트가 필요한지 모르겠습니까? 꼭두각시가 클라이언트 (에이전트)를 가지고있는 한 좋은 인증서를 생성하면. 클라이언트를 제거하고 동일한 호스트 이름으로 새 클라이언트 시스템을 작성하지 않는 한. 꼭두각시를 실행하면 개인 키가 일치하지 않는다고 불평합니다. 대신 puppet cert clean testpuppetmaster 와 함께 클라이언트가 필요하지 않을 때마다 (예 : OS를 다시 설치하거나 가상 컴퓨터를 다시 만드는 경우) 꼭두각시 서버에서 인증서를 정리해야합니다 .

니콜라스 사익
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.