¿Cómo puedo firmar previamente los certificados de títeres?

Puppet requiere certificados entre el cliente (puppet) que se administra y el servidor (puppetmaster). Puede ejecutar manualmente en el cliente y luego ir al servidor para firmar el certificado, pero ¿cómo automatiza este proceso para clústeres / máquinas en la nube?

En el servidor (puppetmaster) ejecute:

puppetca --generate <NAME>

Luego copie lo siguiente del servidor en el cliente:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

Si desea firmar <NAME>como algo diferente al nombre de host, use:

puppetd --fqdn=<NAME>

Y agregue a /etc/puppet/puppet.conf si ejecuta el demonio

[puppetd]
certname=<NAME>

Si tiene una base de datos de host, puede usar la función de firma automática. En su puppet.confarchivo, en el [puppetmasterd], agregue:

autosign = /path/to/autosign.conf

Luego use un crontab para generar este archivo. El archivo de firma automática es solo una lista de hosts para firmar automáticamente cuando se conectan por primera vez al puppetmaster. Uso LDAP para configurar mis hosts de marionetas, por lo que mi cron se ve así:

* * * * * root /usr/bin/ldapsearch -x '(objectClass=puppetClient)' cn | /bin/grep ^cn | /bin/sed 's!^cn: !!' > /etc/puppet/autosign.conf

Estoy seguro de que las personas que usan iClassify podrían escribir una consulta para hacer lo mismo.

Por supuesto, debe confiar en la red. Yo uso esto en EC2. Mi servidor puppetmaster está en un grupo que solo permite conexiones de otros grupos de confianza. No recomendaría hacer esto si tu puppetmaster está abierto a internet.

Respuesta simple: firmar automáticamente nuevas solicitudes. Por supuesto, esto es peligroso porque confías ciegamente en cualquier sistema que se conecte a tu puppetmaster, que es el propósito de requerir la firma manual.

[puppetmasterd]
autosign = true

También puede especificar falso y un archivo para determinar qué claves firmar.

Vea la referencia de configuración en el wiki de Puppet.

Otra opción es usar una herramienta como Capistrano , donde especifica el nodo puppetmaster y crea los nodos de instancia del cliente, y en la tarea:

• Cree el nodo de instancia, digamos con la API de EC2 con Ruby.
• Ejecute puppetd en la instancia, conectándose al servidor.
• Ejecute puppetca --sign para la solicitud de la instancia (ya que sabemos el nombre de la instancia tal como se proporcionó en el bit de creación anterior).
• Vuelva a ejecutar puppetd en la instancia, esta vez conectándose correctamente cuando se firme el certificado.

En el servidor (puppetmaster) ejecute:

puppetca --generate <NAME>

Luego copie lo siguiente del servidor en el cliente:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

Si desea tener como algo diferente al nombre de host use:

puppetd --fqdn=<NAME>

Y agregue a /etc/puppet/puppet.conf si ejecuta el demonio

[puppetd]
certname=<NAME>