我正在读取人偶证书的默认到期日期是5年,并且可以使用中的属性ca_ttl进行设置puppet.conf。
我有两个问题,给出了许多连接到人偶主控器的代理的设置。
代理证书过期时会发生什么?它是在签入母版时自动创建一个新的,还是需要手动完成?
CA证书过期时会发生什么?设置是否完全断开,需要您通过SSH进入每个代理以删除过期的证书?
代理商证书到期
座席证书过期后,以后的座席签入将很早失败。我不记得确切的错误,但它会是这样的:
err:无法从远程服务器检索目录:SSL_connect返回= 1 errno = 0状态= SSLv3读取服务器证书B:证书验证失败。
发生这种情况时,您必须从主服务器上删除证书,在代理上重新生成证书,然后在主服务器上重新签名证书:这只会影响一个代理。
完整的过程记录在这里:https : //docs.puppet.com/pe/latest/agent_cert_regen.html
注意:这通常是相当罕见的,因为大多数人都试图去牲畜而不是宠物舍,那里的机器频繁地上下旋转,以至于代理机器在5年之内都不存在。
PuppetServer /主证书到期
当CA证书本身过期时,所有内容都将停止:由于授权本身已过期,因此无法进行任何通信。这很常见,因为木偶大师更可能存在超过5年。
但是可以:如果证书已经过期,则需要另一种配置方式,例如SSH,控制台访问或WinRM。
Puppet实际上创建了一个帮助程序模块来帮助完成此过程,因为OpenSSL步骤有点麻烦,可以尝试手动执行:
https://github.com/puppetlabs/puppetlabs-certregen
手动过程也在这里:
https://docs.puppet.com/puppet/latest/ssl_regenerate_certificates.html
| 归档时间: |
|
| 查看次数: |
3501 次 |
| 最近记录: |