我正在调查是否可以使木偶生态系统利用我们现有的微软企业CA而不是自己的CA.
由于木偶吹嘘所有的系统都是“标准的SSL”,我的猜测是完全可以做到这一点,没有太多的傀儡变化,但是除非傀儡被编辑来正确地呼叫企业,否则这可能是一个巨大的人工头痛CA.
有没有人试过这个? 是“这里是龙,转身!” 情况?
puppet中的证书validation和层次结构行为确实是标准的SSL,但这是标准的部分实现 – 有一个长期的function要求来改善对更复杂部署的支持 。
如果目标是将证书发放和批准转移到AD证书服务系统(而不是再次inputpuppet cert sign ),那么在没有一些软件开发工作的情况下,您可能倒霉。
客户端使用Puppet自己的REST API来处理证书请求,获取签名证书,AIA和CRL访问等。 您需要在这些API调用和AD证书服务RPC访问点之间实现粘合。
但是,如果您只是在您的AD CS根目录下寻找您的Puppet证书进入信任链,那么sysadmin1138的推荐应该很好(尽pipe我还没有对它进行testing – 我会找一些时间来完成这个工作并更新您)。
木偶客户端将中间木偶CA视为一个根CA(这将产生工作validation,而不需要根的知识),而仍然是真正的根CA的有效后代。