Con rối - Thiết lập Chứng chỉ Đăng ký SSL
Khi phần mềm tác nhân Con rối chạy lần đầu tiên trên bất kỳ nút Con rối nào, phần mềm này sẽ tạo chứng chỉ và gửi yêu cầu ký chứng chỉ đến phần mềm Con rối. Trước khi máy chủ Con rối có thể giao tiếp và kiểm soát các nút tác nhân, nó phải ký chứng chỉ của nút tác nhân cụ thể đó. Trong các phần sau, chúng tôi sẽ mô tả cách ký và kiểm tra yêu cầu ký.
Liệt kê các yêu cầu chứng chỉ hiện tại
Trên Puppet master, hãy chạy lệnh sau để xem tất cả các yêu cầu chứng chỉ chưa được ký.
$ sudo /opt/puppetlabs/bin/puppet cert list
Khi chúng tôi vừa thiết lập một nút tác nhân mới, chúng tôi sẽ thấy một yêu cầu phê duyệt. Sau đây sẽ làoutput.
"Brcleprod004.brcl.com" (SHA259)
15:90:C2:FB:ED:69:A4:F7:B1:87:0B:BF:F7:ll:
B5:1C:33:F7:76:67:F3:F6:45:AE:07:4B:F 6:E3:ss:04:11:8d
Nó không chứa bất kỳ dấu + (dấu) nào ở đầu, điều này cho biết rằng chứng chỉ vẫn chưa được ký.
Ký yêu cầu
Để ký yêu cầu chứng chỉ mới được tạo khi chạy tác nhân Con rối diễn ra trên nút mới, lệnh dấu hiệu chứng chỉ Con rối sẽ được sử dụng, với tên máy chủ của chứng chỉ, được tạo bởi nút mới được định cấu hình cần để được ký kết. Khi chúng ta có chứng chỉ của Brcleprod004.brcl.com, chúng ta sẽ sử dụng lệnh sau.
$ sudo /opt/puppetlabs/bin/puppet cert sign Brcleprod004.brcl.com
Sau đây sẽ là output.
Notice: Signed certificate request for Brcle004.brcl.com
Notice: Removing file Puppet::SSL::CertificateRequest Brcle004.brcl.com at
'/etc/puppetlabs/puppet/ssl/ca/requests/Brcle004.brcl.com.pem'
Máy chủ con rối bây giờ có thể giao tiếp với nút, nơi chứng chỉ ký hiệu thuộc về.
$ sudo /opt/puppetlabs/bin/puppet cert sign --all
Thu hồi Máy chủ từ Thiết lập Con rối
Có các điều kiện về cấu hình của việc xây dựng lại hạt nhân khi nó cần xóa máy chủ khỏi thiết lập và thêm lại nó. Đây là những điều kiện mà Con rối không thể quản lý được. Nó có thể được thực hiện bằng cách sử dụng lệnh sau.
$ sudo /opt/puppetlabs/bin/puppet cert clean hostname
Xem tất cả các yêu cầu đã ký
Lệnh sau sẽ tạo một danh sách các chứng chỉ đã ký với dấu + (dấu) cho biết rằng yêu cầu đã được chấp thuận.
$ sudo /opt/puppetlabs/bin/puppet cert list --all
Sau đây sẽ là output.
+ "puppet" (SHA256) 5A:71:E6:06:D8:0F:44:4D:70:F0:
BE:51:72:15:97:68:D9:67:16:41:B0:38:9A:F2:B2:6C:B
B:33:7E:0F:D4:53 (alt names: "DNS:puppet", "DNS:Brcle004.nyc3.example.com")
+ "Brcle004.brcl.com" (SHA259) F5:DC:68:24:63:E6:F1:9E:C5:FE:F5:
1A:90:93:DF:19:F2:28:8B:D7:BD:D2:6A:83:07:BA:F E:24:11:24:54:6A
+ " Brcle004.brcl.com" (SHA259) CB:CB:CA:48:E0:DF:06:6A:7D:75:E6:CB:22:BE:35:5A:9A:B3
Sau khi hoàn tất các bước trên, chúng ta đã sẵn sàng cơ sở hạ tầng trong đó Puppet master hiện có khả năng quản lý các nút mới được thêm vào.