Puppet 5 年后,证书什么时候到期?
Puppet after 5 years, when certificates expire?
我读到 puppet 证书的默认到期日期为 5 年,可以使用 puppet.conf 中的属性 ca_ttl 进行设置。
我有 2 个问题,假设有许多代理连接到傀儡大师。
当代理证书过期时会发生什么?它会自动创建一个新的登记到主人,还是需要手动完成?
CA 证书过期后会发生什么?安装是否完全断开连接,需要您通过 SSH 连接到每个代理以删除过期的证书?
代理证书到期
当代理的证书过期时,将来的代理签入将很早就失败。我不记得确切的错误,但它会是这样的:
err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed.
发生这种情况时,您必须从主服务器上删除证书,在代理上重新生成证书,然后在主服务器上重新签署证书:这只会影响一个代理。
这里记录了完整的过程:https://docs.puppet.com/pe/latest/agent_cert_regen.html
注意:这通常是相当罕见的,因为大多数人都试图去饲养牲畜而不是宠物庄园,那里的机器频繁地启动和关闭,以至于代理机器已经存在超过 5 年了。
PuppetServer/master 证书到期
当 CA 证书本身过期时,一切都会停止:无法进行通信,因为授权本身已过期。这更常见,因为傀儡大师更有可能存在超过 5 年。
但是是的:如果证书已经过期,您将需要另一种配置方式,例如 SSH、控制台访问或 WinRM。
Puppet 实际上创建了一个辅助模块来帮助完成这个过程,因为 OpenSSL 的步骤对于尝试手动执行来说有点繁琐:
https://github.com/puppetlabs/puppetlabs-certregen
手工流程也在这里:
https://docs.puppet.com/puppet/latest/ssl_regenerate_certificates.html
我读到 puppet 证书的默认到期日期为 5 年,可以使用 puppet.conf 中的属性 ca_ttl 进行设置。
我有 2 个问题,假设有许多代理连接到傀儡大师。
当代理证书过期时会发生什么?它会自动创建一个新的登记到主人,还是需要手动完成?
CA 证书过期后会发生什么?安装是否完全断开连接,需要您通过 SSH 连接到每个代理以删除过期的证书?
代理证书到期
当代理的证书过期时,将来的代理签入将很早就失败。我不记得确切的错误,但它会是这样的:
err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed.
发生这种情况时,您必须从主服务器上删除证书,在代理上重新生成证书,然后在主服务器上重新签署证书:这只会影响一个代理。
这里记录了完整的过程:https://docs.puppet.com/pe/latest/agent_cert_regen.html
注意:这通常是相当罕见的,因为大多数人都试图去饲养牲畜而不是宠物庄园,那里的机器频繁地启动和关闭,以至于代理机器已经存在超过 5 年了。
PuppetServer/master 证书到期
当 CA 证书本身过期时,一切都会停止:无法进行通信,因为授权本身已过期。这更常见,因为傀儡大师更有可能存在超过 5 年。
但是是的:如果证书已经过期,您将需要另一种配置方式,例如 SSH、控制台访问或 WinRM。
Puppet 实际上创建了一个辅助模块来帮助完成这个过程,因为 OpenSSL 的步骤对于尝试手动执行来说有点繁琐:
https://github.com/puppetlabs/puppetlabs-certregen
手工流程也在这里:
https://docs.puppet.com/puppet/latest/ssl_regenerate_certificates.html