El ile Kukla CA ve sertifikalar nasıl oluşturulur?

13

Nasıl manuel (kukla ca komutu yerine openssl kullanarak) Kukla tarafından kullanılabilir CA oluşturmak için merak ediyorum? Amaç, bu tür CA'ların, kukla sertifika komutu ile üzerlerinde oluşturulan sertifikalar yerine, birden fazla kuklacıya konuşlandırılması için komut dosyası oluşturmaktır.

Nasıl yapılacağı hakkında bir fikrin var mı? Sadece böyle bir şey bulabildim: https://wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster ama çalışamıyor - CA ve istemci sertifikası oluşturup kukla yöneticisine uyguladıktan sonra, şikayet ediyor:

Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key.
Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64
Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both the master and the agent and then start a puppet run, which will automatically regenerate a certficate.
Feb 16 09:35:20 test puppet-master[81728]: On the master:
Feb 16 09:35:20 test puppet-master[81728]:   puppet cert clean test
Feb 16 09:35:20 test puppet-master[81728]: On the agent:
Feb 16 09:35:20 test puppet-master[81728]:   rm -f /var/puppet/ssl/certs/test.pem
Feb 16 09:35:20 test puppet-master[81728]:   puppet agent -t
ssl  puppet  certificate  openssl 
SpankMe
kaynak
Daniel t.
Teşekkürler, ama ne yazık ki, nasıl olduğunu göstermeden sadece mümkün olduğunu söylüyor. Buna ek olarak, Kukla'nın oldukça eski versiyonuna atıfta bulunuyor.
SpankMe
@SpankMe Neden sadece kullanmıyorsunuz puppet cert generate?
Shane Madden
3
@Shane Sistem komutlarını Popen nesnelerine sahip komut dosyalarına sarmak zorunda kaldığım için, çıktılarını metin ayrıştırma yoluyla doğrulamak zorunda kalacağım ... Sadece openssl kitaplığını kullanmaktan çok daha az esnek ve 'koşer' ve buna ek olarak bir sunucuda kukla yüklemesi gerektirir , kuklaların CA ve istemci sertifikalarını önceden oluşturmak ve sonra bunları uygun makinelere dağıtmak istiyorum.
SpankMe

Yanıtlar:

1

Aracı, önceden oluşturulmuş istemci sertifikasını kullanmıyor. Bunun yerine bir CSR (yeni bir anahtarla) oluşturdu, böylece master aracıya güvenmeyecek.

İçinde bulunan dosyaların

`puppet agent --configprint ssldir`/{certs,private_keys}/`puppet agent --configprint certname`

önceden oluşturup ustanıza koyduğunuzlarla aynıdır. (Ana gerektiğini değil aracısının özel anahtarın bir kopyasını almak.)

Felix Frank
kaynak
-1

Neden hiç certs üreten bir senaryoya ihtiyacınız olduğunu bilmiyorum? Kukla bir kez müşteri (ajan) sahip olduğu sürece iyi olması gereken sertifika oluşturur. İstemciyi kaldırmadıkça ve aynı ana bilgisayar adına sahip yeni bir istemci makinesi oluşturmadıkça. Kukla çalıştırırsanız, özel anahtar uyuşmazlığı olduğunu söyleyecektir. Bunun yerine, kukla sunucusunda istemciye ihtiyacınız olmadığında (örneğin işletim sistemini yeniden yüklüyorsanız veya sanal bir makine yeniden oluşturuyorsanız) kukla sunucusundaki sertifikayı temizlemelisiniz puppet cert clean test.

Nikolas Sakiç
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.