Kukla sertifikalarını nasıl önceden imzalayabilirim?

Kukla , yönetilen müşteri (kukla) ile sunucu (kuklacı) arasındaki sertifikaları gerektirir. İstemcide manuel olarak çalışabilir ve ardından sertifikayı imzalamak için sunucuya gidebilirsiniz, ancak bu işlemi kümeler / bulut makineleri için nasıl otomatik hale getirirsiniz?

Sunucuda (kuklacı) çalıştırın:

puppetca --generate <NAME>

Ardından aşağıdakileri sunucudan istemciye kopyalayın:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

Ana <NAME>bilgisayar adı kullanımından başka bir şey olarak imzalamak istiyorsanız :

puppetd --fqdn=<NAME>

Daemon kullanıyorsanız /etc/puppet/puppet.conf dosyasına ekleyin.

[puppetd]
certname=<NAME>

Bir ana bilgisayar veritabanınız varsa, autosign özelliğini kullanabilirsiniz. Senin içinde puppet.confdosyasında [puppetmasterd]ekleyin:

autosign = /path/to/autosign.conf

Sonra bu dosyayı oluşturmak için bir crontab kullanın. Otomatik işaretleme dosyası, kuklacıya ilk bağlandığında otomatik olarak işaretlenecek ana bilgisayarların bir listesidir. Kukla konaklarımı yapılandırmak için LDAP kullanıyorum, böylece cronum şöyle görünüyor:

* * * * * root /usr/bin/ldapsearch -x '(objectClass=puppetClient)' cn | /bin/grep ^cn | /bin/sed 's!^cn: !!' > /etc/puppet/autosign.conf

Eminim iClassify kullanan insanlar aynı şeyi yapmak için bir sorgu yazabileceklerdir.

Tabii ki, ağa biraz güvenmeniz gerekir. Bunu EC2'de kullanıyorum. Puppetmaster sunucum yalnızca diğer güvenilir gruplardan bağlantılara izin veren bir grupta. Kukla yöneticiniz internete açıksa bunu yapmayı tavsiye etmem.

Basit cevap: otomatik olarak yeni istekleri imzala. Elbette bu tehlikelidir, çünkü kukla yöneticinize bağlanan herhangi bir sisteme kör güveniyorsunuzdur, ki bu manuel imzalamayı zorunlu kılar.

[puppetmasterd]
autosign = true

Hangi anahtarların imzalanacağını belirlemek için false ve kullanılacak bir dosya belirleyebilirsiniz.

Kukla wiki'deki yapılandırma referansına bakın .

Başka bir seçenek de , kuklacı düğümünü belirlediğiniz ve istemci örnek düğümlerini oluşturduğunuz ve görevde bulunan Capistrano gibi bir araç kullanmaktır :

• Örnek düğümünü oluşturun, EC2'nin Ruby ile API'sı ile söyleyin.
• Örneğe kuklacı çalıştırın, sunucuya bağlanın.
• Puppetca komutunu çalıştırın - örneğin isteğini yerine getirin (yukarıdaki oluşturma bitinde verilen örnek adını bildiğimizden beri).
• Örneğe kuklacı tekrar çalıştırın, bu sefer sertifika imzalanırken başarıyla bağlandı.

Sunucuda (kuklacı) çalıştırın:

puppetca --generate <NAME>

Ardından aşağıdakileri sunucudan istemciye kopyalayın:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

Ana bilgisayar adı kullanımından başka bir şey olmasını istiyorsanız:

puppetd --fqdn=<NAME>

Daemon kullanıyorsanız /etc/puppet/puppet.conf dosyasına ekleyin.

[puppetd]
certname=<NAME>