这是问题…
3年前,我们创build了一个多数据中心设置,尽可能less的跨DC资源依赖关系。 不同的AD网站。 不同的傀儡 不同的系统日志服务器 不同的出口防火墙 不同的DNSparsing器。 不同的出站邮件中继。 作品。 这很好,它工作得很好。
现在我正在试着安装Mcollective,这样我们就可以做一些分布式的命令,并从puppet中获取一些报告内容。 目前,规则设置了运行木偶推送的bash脚本的cron-jobs,它将输出转储到NFS共享,这似乎是mcollective之类的主要候选者。
最大的问题是两个傀儡老师使用的证书颁发机构不能链接任何东西,而Mcollective使用CAvalidation作为其authn / authzscheme的关键部分。
是否有可能重新签署与第三权威的CA证书,从而创build一个单一的证书链?
我们已经有了所有的木偶证书,如果我们能够重新使用这些证书,那真是太好了。 现在,我们将要结束两个岛屿集体环境,这意味着我们的自动化必须连接到DC特定的端点来执行指令。 如果我们有一个单一的点,那就太好了,特别是因为activemq可以处理这种架构。
以相同的序列号重新生成所有的客户端证书?
涉及-set_serial Openssl魔法?
我真的宁愿避免重新把所有在这些傀儡老师那里的百个节点重新encryption,但是如果这是唯一可以完成的方法,那就这样吧。