Puppet - SSL Sign Certificate Setup

Wenn die Puppet Agent-Software zum ersten Mal auf einem Puppet-Knoten ausgeführt wird, generiert sie ein Zertifikat und sendet die Zertifikatsignierungsanforderung an den Puppet-Master. Bevor der Puppet-Server die Agentenknoten kommunizieren und steuern kann, muss er das Zertifikat dieses bestimmten Agentenknotens signieren. In den folgenden Abschnitten wird beschrieben, wie Sie die Signaturanforderung signieren und überprüfen.

Aktuelle Zertifikatanforderungen auflisten

Führen Sie auf dem Puppet-Master den folgenden Befehl aus, um alle nicht signierten Zertifikatanforderungen anzuzeigen.

$ sudo /opt/puppetlabs/bin/puppet cert list

Da wir gerade einen neuen Agentenknoten eingerichtet haben, wird eine Genehmigungsanforderung angezeigt. Es folgt dieoutput.

"Brcleprod004.brcl.com" (SHA259) 
15:90:C2:FB:ED:69:A4:F7:B1:87:0B:BF:F7:ll:
B5:1C:33:F7:76:67:F3:F6:45:AE:07:4B:F 6:E3:ss:04:11:8d

Es enthält am Anfang kein + (Vorzeichen), was darauf hinweist, dass das Zertifikat noch nicht signiert ist.

Unterschreiben Sie eine Anfrage

Um die neue Zertifikatanforderung zu signieren, die beim Ausführen des Puppet-Agentenlaufs auf dem neuen Knoten generiert wurde, wird der Befehl Puppet cert sign verwendet, mit dem Hostnamen des Zertifikats, das von dem neu konfigurierten Knoten generiert wurde, der benötigt wird unterschrieben werden. Da wir das Zertifikat von Brcleprod004.brcl.com haben, verwenden wir den folgenden Befehl.

$ sudo /opt/puppetlabs/bin/puppet cert sign Brcleprod004.brcl.com

Es folgt die output.

Notice: Signed certificate request for Brcle004.brcl.com 
Notice: Removing file Puppet::SSL::CertificateRequest Brcle004.brcl.com at 
'/etc/puppetlabs/puppet/ssl/ca/requests/Brcle004.brcl.com.pem'

Der Puppenspieler kann nun mit dem Knoten kommunizieren, zu dem das Zeichenzertifikat gehört.

$ sudo /opt/puppetlabs/bin/puppet cert sign --all

Widerrufen des Hosts über das Puppet-Setup

Es gibt Bedingungen für die Konfiguration der Kernel-Neuerstellung, wenn der Host aus dem Setup entfernt und erneut hinzugefügt werden muss. Dies sind die Bedingungen, die von der Puppe selbst nicht verwaltet werden können. Dies kann mit dem folgenden Befehl erfolgen.

$ sudo /opt/puppetlabs/bin/puppet cert clean hostname

Alle signierten Anfragen anzeigen

Der folgende Befehl generiert eine Liste signierter Zertifikate mit + (Vorzeichen), die angibt, dass die Anforderung genehmigt wurde.

$ sudo /opt/puppetlabs/bin/puppet cert list --all

Es folgt sein output.

+ "puppet" (SHA256) 5A:71:E6:06:D8:0F:44:4D:70:F0:
BE:51:72:15:97:68:D9:67:16:41:B0:38:9A:F2:B2:6C:B 
B:33:7E:0F:D4:53 (alt names: "DNS:puppet", "DNS:Brcle004.nyc3.example.com")  

+ "Brcle004.brcl.com" (SHA259) F5:DC:68:24:63:E6:F1:9E:C5:FE:F5:
1A:90:93:DF:19:F2:28:8B:D7:BD:D2:6A:83:07:BA:F E:24:11:24:54:6A 

+ " Brcle004.brcl.com" (SHA259) CB:CB:CA:48:E0:DF:06:6A:7D:75:E6:CB:22:BE:35:5A:9A:B3

Sobald dies erledigt ist, haben wir unsere Infrastruktur bereit, in der der Puppet-Master jetzt neu hinzugefügte Knoten verwalten kann.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved