我成功地设立了多名木偶大师,担任一名木偶大师作为CA,客户可以从这台CA服务器获得证书,但是使用他们指定的木偶大师来获得他们的舱单。 看到这个问题的更多信息.. 多个木偶大师 。 但是,有一些事情我不得不做正确的工作,并有一个错误,我会得到。
首先,为了让连接到指定的木偶大师(PM)的傀儡客户端(PC)工作,我必须将PM1上的CA证书复制到PM2 ca目录中。 我运行这个命令:
scp [email protected]:/var/lib/puppet/ssl/ca/ca_cr*.pem [email protected]:/var/lib/puppet/ssl/ca/. 一旦我这样做了,我可以取消注释我的rack.conf VH文件的SSLCertificateChainFile, SSLCACertificateFile & SSLCARevocationFile部分在PM2上。 一旦我完成了这个工作,库存就开始工作了。 这听起来是一种可以接受的做事方式吗?
其次,在puppet.conf文件中,我为客户端设置了指定的PM服务器,例如server = puppet-master2.test.net 。 除非有更好的方法,否则这将在我的生产环境中起作用。 所以PC1会和PM1通话,PC2会跟PM2通话。 这是我有一个错误。 当PC2首先从PM1上的CA请求证书时,证书出现,然后我在PM1上的CA上签署证书。 当我做一个木偶代理 – 在PC2上testing(在puppet.conf中有server = puppet-master2.test.net),我得到这个错误:
Warning: Unable to fetch my node definition, but the agent run will continue: Warning: Error 403 on SERVER: Forbidden request: puppet-master2.test.net(10.1.1.161) access to /certificate_revocation_list/ca [find] at :112
但是,如果我更改PC2 puppet.conf文件并指定server = PM1并重新运行puppet代理–test,我不会收到任何错误。 然后,我可以将puppet.conf文件中的更改恢复到server = PM2,一切似乎正常运行。
我是否必须在PM2上为客户端/ certificate_revocation_list / *发出的请求设置某种ProxyPassMatch并将其redirect到PM1? 或者我该如何解决这个错误?
干杯,奥利
一旦我这样做了,我可以取消注释我的rack.conf VH文件的
SSLCertificateChainFile, SSLCACertificateFile & SSLCARevocationFile部分在PM2上。 一旦我完成了这个工作,库存就开始工作了。 这听起来是一种可以接受的做事方式吗?
不需要这样做 – 撤销列表和根证书应该已经在辅助主服务器上了。 在PM2上尝试这些文件位置:
SSLCertificateChainFile /var/lib/puppet/ssl/certs/ca.pem SSLCACertificateFile /var/lib/puppet/ssl/certs/ca.pem SSLCARevocationFile /var/lib/puppet/ssl/crl.pem
其次,在puppet.conf文件中,我为客户端设置了指定的PM服务器,例如server = puppet-master2.test.net。 除非有更好的方法,否则这将在我的生产环境中起作用。
你是哪个木偶版的? 3.0的SRVloggingfunction是解决此问题的绝佳解决scheme,使您可以为客户提供一组可以从中select的主人,并具有权重和优先级。
我是否必须在PM2上为客户端/ certificate_revocation_list / *发出的请求设置某种ProxyPassMatch并将其redirect到PM1? 或者我该如何解决这个错误?
这在auth.conf是一个错误的默认设置 – 代理连接没有通过validation,默认情况下是强制对CRL(不敏感)进行身份validation。 把它添加到PM1上的auth.conf中:
path /certificate_revocation_list auth any method find allow *