Pet*_*ace 10 puppet ssl-certificate certificate-authority
我正在调查是否可以让 puppet 生态系统利用我们现有的 Microsoft Enterprise CA 而不是自己的 CA。
由于 puppet 吹捧所有系统都是“标准 SSL”,我的猜测是完全有可能在不改变 puppet 的情况下做到这一点,但是除非编辑 puppet 以对企业进行适当的调用,否则这可能是一个巨大的手动难题CA。
有没有人试过这个?是不是“这里有龙,转身离开!” 情况?
puppet 中的证书验证和层次结构行为确实是标准 SSL,但它是标准的部分实现 -长期以来存在一个功能请求,以提高其对更复杂部署的支持。
如果目标是将证书颁发和批准转移到 AD 证书服务系统(并且不再输入puppet cert sign),那么如果没有一些软件开发工作,您可能会运气不佳。
客户端使用 Puppet 自己的 REST API 来处理证书请求、获取签名证书、AIA 和 CRL 访问等;您需要在这些 API 调用和 AD 证书服务 RPC 访问点之间实现粘合。
但是,如果您只是在 AD CS 根目录下寻找位于信任链中的 Puppet 证书,那么 sysadmin1138 的建议应该效果很好(尽管我也没有测试过它 - 我会找一些时间来执行此操作并更新)你)。
Puppet 客户端会将中间 Puppet CA 视为根 CA(这将在不需要根 CA 知识的情况下产生工作验证),同时仍然是真正根 CA 的有效后代。
| 归档时间: |
|
| 查看次数: |
953 次 |
| 最近记录: |