Проблемы с SSL с puppetdb

Question

Проблемы с SSL с puppetdb

Я настраиваю Puppetdb с SSL и у меня возникают проблемы с сертификатами.

Я использую Nginx в качестве SSL-прокси для Puppet, поэтому мой СА управляется сервером-монгрелом на этой прокси-машине Nginx.

Если я сгенерирую сертификат для своего URI Puppetdb с помощью CA на компьютере Nginx, я смогу настроить Puppetdb с помощью puppetlabs-puppetdb модуль (так как агент Puppet использует CA прокси-сервера), но затем Puppetmaster не может подключиться к нему, поскольку у него есть собственный сертификат CA, который генерирует сам.

If I generate a certificate for the Puppetdb URI using one of the Puppetmasters, I cannot deploy the Puppetdb using the puppetlabs-puppetdb module since the Puppet agent doesn't use the same CA certificate.

What could I do to reconcile all this? Can I full turn off SSL on my puppetmasters (since SSL is managed by the Nginx proxy) and have them use the proxy's CA to connect to the Puppetdb?

1

nginx ssl puppet puppetmaster puppetdb

Источник

ℝaphink 12 ноя '12 в 14:25

1 ответ

Решение

Другие вопросы по тегам nginx ssl puppet puppetmaster puppetdb

ℝaphink 13 ноя '12 в 07:58 2012-11-13 07:58 · Accepted Answer · 2012-11-13 07:58

Я использовал неверную настройку для своих puppetmasters, а именно, позволил им создать свой собственный CA в отдельном каталоге. Эта ссылка прояснила это. Я сейчас:

Используйте один и тот же каталог в режиме агента и мастера (в моем случае стандартный /var/lib/puppet/ssl каталог). Это гарантирует, что он использует один и тот же CA для обоих режимов;
использование ca=false на марионетку (раздел master) чтобы хозяин марионеток не жаловался на использование другого ЦС, кроме его собственного;
Прекратить указывать certname= для кукловодов и пусть они используют имя машины, как в режиме агента.