Kukla ile alternatif bir CA (Microsoft Sertifika Hizmetleri gibi) kullanma

Bir şekilde kukla ekosisteminin kendi CA'sı yerine mevcut Microsoft Enterprise CA'mızı kullanmasını sağlayıp sağlayamayacağımı araştırıyorum.

Kukla, tüm sistemin "standart SSL" olduğunu söylediğinden, tahminimce kukla çok fazla değişmeden bunu yapmak tamamen mümkündür, ancak kukla şirkete uygun çağrıları yapmak için düzenlenmedikçe büyük bir manuel baş ağrısı olması muhtemeldir. CA.

Bunu daha önce deneyen var mı? Bu "işte ejderhalar, geri çekil!" durum?

Kukladaki sertifika doğrulama ve hiyerarşi davranışı gerçekten standart SSL'dir, ancak standartların kısmi bir uygulamasıdır - daha karmaşık dağıtımlar için desteğini geliştirmek için uzun süredir devam eden bir özellik talebi var .

Hedef, sertifika düzenleme ve onayını AD Sertifika Hizmetleri sistemine taşımak (ve bir daha asla puppet cert signyazmamak) ise, bazı yazılım geliştirme çalışmaları olmadan muhtemelen şansınız kalmaz.

İstemci, sertifika istekleri yapmak, imzalı sertifikalar almak, AIA ve CRL erişimi vb. İşlemek için Puppet'in kendi REST API'sini kullanır; bu API çağrıları ile AD Sertifika Hizmetleri RPC erişim noktaları arasında yapıştırıcı uygulamanız gerekir.

Ancak, sadece Kukla sertifikalarınızın AD CS kökü altında güven zincirinde olmasını istiyorsanız, sysadmin1138'in tavsiyesi harika çalışmalıdır (ben de test etmedim - bunu yapmak ve güncellemek için biraz zaman bulacağım sen).

Kukla istemcileri, ara Kukla CA'ya, gerçek kök CA'nın geçerli torunları olmakla birlikte, kök CA (sanki kök bilgisine ihtiyaç duymadan çalışma doğrulaması sağlayacak) gibi davranırlar.