Puppet – SSL 签名证书设置
Puppet – SSL 签名证书设置
当 Puppet 代理软件在任何 Puppet 节点上第一次运行时,它会生成一个证书并将证书签名请求发送给 Puppet 主控器。在 Puppet 服务器能够通信和控制代理节点之前,它必须签署该特定代理节点的证书。在以下部分中,我们将描述如何签名和检查签名请求。
列出当前证书请求
在 Puppet 主机上,运行以下命令以查看所有未签名的证书请求。
$ sudo /opt/puppetlabs/bin/puppet cert list
由于我们刚刚设置了一个新的代理节点,我们将看到一个批准请求。以下将是输出。
"Brcleprod004.brcl.com" (SHA259) 15:90:C2:FB:ED:69:A4:F7:B1:87:0B:BF:F7:ll: B5:1C:33:F7:76:67:F3:F6:45:AE:07:4B:F 6:E3:ss:04:11:8d
它的开头不包含任何+(符号),这表示证书仍未签名。
签署请求
为了对在新节点上运行 Puppet 代理时生成的新证书请求进行签名,将使用 Puppet cert sign 命令以及证书的主机名,该证书是由需要新配置的节点生成的待签署。由于我们有 Brcleprod004.brcl.com 的证书,我们将使用以下命令。
$ sudo /opt/puppetlabs/bin/puppet cert sign Brcleprod004.brcl.com
以下将是输出。
Notice: Signed certificate request for Brcle004.brcl.com Notice: Removing file Puppet::SSL::CertificateRequest Brcle004.brcl.com at '/etc/puppetlabs/puppet/ssl/ca/requests/Brcle004.brcl.com.pem'
Puppet 服务器现在可以与签名证书所属的节点通信。
$ sudo /opt/puppetlabs/bin/puppet cert sign --all
从 Puppet Setup 中撤销 Host
当需要从设置中删除主机并重新添加它时,内核重建的配置有条件。这些是偶人本身无法管理的情况。可以使用以下命令来完成。
$ sudo /opt/puppetlabs/bin/puppet cert clean hostname
查看所有签名的请求
以下命令将生成带有 +(符号)的签名证书列表,表示请求已获批准。
$ sudo /opt/puppetlabs/bin/puppet cert list --all
以下将是它的输出。
+ "puppet" (SHA256) 5A:71:E6:06:D8:0F:44:4D:70:F0: BE:51:72:15:97:68:D9:67:16:41:B0:38:9A:F2:B2:6C:B B:33:7E:0F:D4:53 (alt names: "DNS:puppet", "DNS:Brcle004.nyc3.example.com") + "Brcle004.brcl.com" (SHA259) F5:DC:68:24:63:E6:F1:9E:C5:FE:F5: 1A:90:93:DF:19:F2:28:8B:D7:BD:D2:6A:83:07:BA:F E:24:11:24:54:6A + " Brcle004.brcl.com" (SHA259) CB:CB:CA:48:E0:DF:06:6A:7D:75:E6:CB:22:BE:35:5A:9A:B3
完成上述操作后,我们就准备好了基础架构,Puppet 主控现在可以在其中管理新添加的节点。