questões SSL com puppetdb

1

Estou configurando o Puppetdb com SSL e tendo problemas com certificados.

Estou usando o Nginx como um proxy SSL para o Puppet, então minha CA é gerenciada por um servidor mestiço nessa máquina proxy Nginx.

Se eu gerar um certificado para o URI do Puppetdb usando a CA na máquina Nginx, configurarei o Puppetdb usando o módulo puppetlabs-puppetdb (já que o agente Puppet usa a CA do proxy), mas o Puppetmaster não pode conectar-se a ele, porque ele tem seu próprio certificado de CA, que é gerado por ele mesmo.

Se eu gerar um certificado para o URI Puppetdb usando um dos Puppetmasters, não será possível implantar o Puppetdb usando o módulo puppetlabs-puppetdb , já que o agente Puppet não usa o mesmo certificado CA.

O que eu poderia fazer para conciliar tudo isso? Posso desligar completamente o SSL nos meus puppetmasters (já que o SSL é gerenciado pelo proxy Nginx) e fazer com que usem a CA do proxy para se conectar ao Puppetdb?

    
por ℝaphink 12.11.2012 / 15:25

1 resposta

1

Eu estava usando uma configuração errada para os meus puppetmasters, ou seja, permitindo que eles criassem suas próprias CAs em um diretório separado. Este link esclareceu. Eu agora:

  • Use o mesmo diretório no modo de agente e mestre (no meu caso, o diretório /var/lib/puppet/ssl padrão). Isso garante que ele use a mesma CA para os dois modos;
  • Use ca=false no mestre de fantoches (seção master ) para que o mestre de bonecos não reclame sobre usar outra CA além da dele;
  • Pare de especificar certname= para os máscaras de fantoches e deixe que eles usem o nome da máquina como concluído no modo de agente.
por 13.11.2012 / 08:58