我使用SSL设置Puppetdb并遇到证书问题。
我使用Nginx作为Puppet的SSL代理,所以我的CA由这个Nginx代理机器上的mongrel服务器pipe理。
如果我使用Nginx机器上的CA为我的Puppetdb URI生成证书,我可以使用puppetlabs-puppetdb模块(因为Puppet代理使用代理的CA)来设置Puppetdb, puppetlabs-puppetdb无法连接到它,因为它有自己生成的CA证书。
如果我使用其中一个Puppetmasters为Puppetdb URI生成证书,则不能使用puppetlabs-puppetdb模块部署Puppetdb,因为Puppet代理不使用相同的CA证书。
我能做些什么调和这一切? 我可以完全closures我的傀儡(因为SSL由Nginx代理pipe理)的SSL和让他们使用代理的CA连接到Puppetdb?
我为我的傀儡老师使用了一个错误的设置,即让他们在一个单独的目录中创build自己的CA. 这个链接清除了它。 我现在:
/var/lib/puppet/ssl目录)。 这确保它在两种模式下使用相同的CA; master (科master )使用ca=false ,这样傀儡master就不会抱怨使用另一个CA而不是他自己的; certname= ,让他们在代理模式下使用机器名称。