パペット証明書に事前署名するにはどうすればよいですか？

Puppetでは、管理対象のクライアント（puppet）とサーバー（puppetmaster）の間に証明書が必要です。クライアントで手動で実行してからサーバーに移動して証明書に署名することはできますが、クラスター/クラウドマシンのこのプロセスをどのように自動化しますか？

サーバー（puppetmaster）で次を実行します。

puppetca --generate <NAME>

次に、サーバーからクライアントに次をコピーします。

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

<NAME>ホスト名以外のものとして署名する場合は、次を使用します。

puppetd --fqdn=<NAME>

デーモンを実行している場合は、/ etc / puppet / puppet.confに追加します

[puppetd]
certname=<NAME>

ホストデータベースがある場合は、自動署名機能を使用できます。あなたにはpuppet.conf、ファイルに[puppetmasterd]、追加します。

autosign = /path/to/autosign.conf

次に、crontabを使用してこのファイルを生成します。自動署名ファイルは、puppetmasterに最初に接続するときに自動署名するホストのリストです。LDAPを使用してパペットホストを構成するため、cronは次のようになります。

* * * * * root /usr/bin/ldapsearch -x '(objectClass=puppetClient)' cn | /bin/grep ^cn | /bin/sed 's!^cn: !!' > /etc/puppet/autosign.conf

iClassifyを使用する人々は、同じことを行うためのクエリを作成できると確信しています。

もちろん、ネットワークをある程度信頼する必要があります。これをEC2で使用します。私のpuppetmasterサーバーは、他の信頼できるグループからの接続のみを許可するグループに属します。あなたの操り人形マスターがインターネットに開かれている場合、これを行うことはお勧めしません。

簡単な答え：新しいリクエストに自動的に署名します。これはもちろん、あなたがパペットマスターに接続するシステムを盲目的に信頼しているので危険です。これは手動署名を要求する目的です。

[puppetmasterd]
autosign = true

falseと、使用するファイルを指定して、署名するキーを決定することもできます。

Puppet wikiの構成リファレンスを参照してください。

別のオプションはCapistranoのようなツールを使用することです。ここでは、puppetmasterノードを指定し、クライアントインスタンスノードを作成します。

• たとえば、Rubyを使用したEC2のAPIを使用して、インスタンスノードを作成します。
• インスタンスでpuppetdを実行し、サーバーに接続します。
• インスタンスのリクエストに対してpuppetca --signを実行します（上記の作成ビットで指定したインスタンス名がわかっているため）。
• インスタンスでpuppetdを再度実行します。今回は、証明書が署名されているため、正常に接続します。

サーバー（puppetmaster）で次を実行します。

puppetca --generate <NAME>

次に、サーバーからクライアントに次をコピーします。

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

ホスト名以外のものを使用したい場合：

puppetd --fqdn=<NAME>

デーモンを実行している場合は、/ etc / puppet / puppet.confに追加します

[puppetd]
certname=<NAME>