如何重用 puppet SSL 证书
How to reuse puppet SSL certificates
我想要一个设置,我的 ec2 实例有时会终止,新节点会出现相同的主机名。我的 puppetserver 应该有旧证书,并立即通过所需的模块推送配置。
这是一个可行的解决方案吗?在这种情况下,我是否需要保留客户端的 ssl 证书并通过用户数据将它们推送到 ec2instnces?什么是最好的选择?
我真的想不出太多反对证书重用的论点,只是 CA 主服务器上的 puppet cert clean "$certname" 太简单了,我真的想不出重用证书的理由名字。
也就是说,我建议构建某种管道,其中包括在销毁 ec2 实例时进行证书清理。这在 terraform workflow with the AWS Terraform Provider and local-exec provisioner 中相当容易做到。对于您创建的每个 aws_instance,您还将创建一个 local-exec 资源,并指定 local-exec 仅在销毁时执行:when = "destroy".
如果您为了方便而重新使用主机名,也许明智的做法是依靠 dns 指向新主机,而不是依赖主机名本身,而不必再担心 puppet cert clean。
我想要一个设置,我的 ec2 实例有时会终止,新节点会出现相同的主机名。我的 puppetserver 应该有旧证书,并立即通过所需的模块推送配置。
这是一个可行的解决方案吗?在这种情况下,我是否需要保留客户端的 ssl 证书并通过用户数据将它们推送到 ec2instnces?什么是最好的选择?
我真的想不出太多反对证书重用的论点,只是 CA 主服务器上的 puppet cert clean "$certname" 太简单了,我真的想不出重用证书的理由名字。
也就是说,我建议构建某种管道,其中包括在销毁 ec2 实例时进行证书清理。这在 terraform workflow with the AWS Terraform Provider and local-exec provisioner 中相当容易做到。对于您创建的每个 aws_instance,您还将创建一个 local-exec 资源,并指定 local-exec 仅在销毁时执行:when = "destroy".
如果您为了方便而重新使用主机名,也许明智的做法是依靠 dns 指向新主机,而不是依赖主机名本身,而不必再担心 puppet cert clean。