Aqui está o problema ...
Há 3 anos, criamos uma configuração de vários datacenters, com o mínimo de dependências de recursos entre DCs que pudemos fazer. Diferentes sites do AD. Diferentes maços de marionetes. Servidores syslog diferentes. Firewalls de saída diferentes. Resolvedores DNS diferentes. Relés de correspondência out-bound diferentes. Os trabalhos. Foi legal, funcionou muito bem.
Agora, estou tentando instalar o Mcollective para que possamos fazer alguns comandos distribuídos e obter algumas informações sobre os fantoches. Atualmente, o cron-jobs conjunto de regras que executam scripts bash empurrados por fantoches que despejam a saída para compartilhamentos NFS, isso parece ser um excelente candidato para algo como mcollective.
O grande problema é que os dois fantoches estão usando autoridades de certificação que não se encaixam em nada, e a Mcollective usa a validação da CA como parte essencial de seu esquema authn / authz.
É possível assinar novamente os certificados da CA com uma terceira autoridade e, assim, criar uma única cadeia de certificados?
Já temos certeis fantoches em tudo, e seria ótimo se pudéssemos reutilizá-los. Assim, estaríamos acabando com dois ambientes coletivos de ilha, o que significa que nossa automação precisa se conectar a endpoints específicos de DC para fazer o comando. Seria ótimo se tivéssemos um único ponto para isso, especialmente porque o activemq pode lidar com esse tipo de arquitetura.
Regramaticamente regenera todos os certificados do cliente com os mesmos números de série?
Magia openssl envolvendo -set_serial ?
Eu realmente preferiria evitar ter que reescrever todos os cem nós que temos nesses maestros de fantoches, mas se essa é a única maneira que pode ser feita, então que assim seja.
Tags openssl puppet pki mcollective activemq