Utilizando una CA alternativa (como Microsoft Certificate Services) con Puppet

Estoy investigando si de alguna manera puedo hacer que el ecosistema de títeres utilice nuestra CA empresarial de Microsoft existente en lugar de ser su propia CA.

Dado que Puppet dice que todo el sistema es "SSL estándar", supongo que es completamente posible hacer esto sin cambiar mucho de Puppet, SIN EMBARGO es probable que sea un gran dolor de cabeza manual a menos que Puppet sea editado para hacer las llamadas apropiadas a la empresa. CALIFORNIA.

¿Alguien ha intentado esto antes? ¿Es un "aquí hay dragones, apártate!" ¿situación?

La validación del certificado y el comportamiento jerárquico en Puppet es de hecho SSL estándar, pero es una especie de implementación parcial de los estándares: existe una solicitud de características de larga data para mejorar su soporte para implementaciones más complicadas .

Si el objetivo es lograr que la emisión y aprobación del certificado se traslade al sistema de Servicios de certificados de AD (y nunca puppet cert signvuelva a escribir ), entonces probablemente no tenga suerte sin algún trabajo de desarrollo de software.

El cliente utiliza la API REST de Puppet para gestionar la solicitud de certificados, obtener certificados firmados, acceso AIA y CRL, etc .; necesitaría implementar pegamento entre esas llamadas API y los puntos de acceso RPC de AD Certificate Services.

Pero, si solo está buscando que sus certificados de Puppet estén en la cadena de confianza bajo su raíz de AD CS, la recomendación de sysadmin1138 debería funcionar muy bien (aunque tampoco lo he probado, encontraré algo de tiempo para hacerlo y actualizar usted).

Los clientes de Puppet tratarán la CA de Puppet intermedia como si fuera una CA raíz (lo que generará una validación de trabajo sin que ellos necesiten conocimiento de la raíz), mientras sigan siendo descendientes válidos de la CA raíz real.