傀儡 cacert 与 localcacert?

Puppet cacert vs localcacert?

我正在尝试解决与过期的 CA 证书相关的问题。

我替换了位于 /etc/puppetlabs/puppet/ssl/ca/ca_crt.pem (与 these instructions.

的证书

然后重新启动 puppet-server,但代理仍然看到过期的证书。

我注意到还有一个值 localcacert 指向稍微不同的路径 etc/puppetlabs/puppet/ssl/certs/ca.pem

我看到这个小snippet on Puppet documentation:

Where each client stores the CA certificate.

Default: $certdir/ca.pem

我对此感到困惑。描述使它听起来像客户端存储证书的文件夹,但值是单个 pem 文件。

任何人都可以阐明这两个 ca pem 文件之间的区别吗?

如果我更新一个,我可以用我的新 pem 覆盖另一个吗?

Can anyone clarify the difference between these two ca pem files?

cacert 设置仅与 master 有关。它指定证书的位置,主人的托管 CA 将使用该证书签署通信。

localcacert 设置指定客户端 CA 证书副本的位置(包含 public 密钥,而不是私有密钥)。这是计算机将用来验证由 CA 签署的证书的内容。

在这两种情况下,您都不应该对 "location" 这个词读太多。这些设置指定证书文件,而不是目录。