我有我想要在新的厨师服务器部署上使用的现有validation和webui私钥。 部分引导模板将这些密钥复制到/ etc / chef /中。 当厨师独奏运行并启动厨师服务器时,我怎样才能防止覆盖/etc/chef/validation.pem和/etc/chef/webui.pem。
或者,是否有一个过程来replacevalidation.pem和webui.pem与我手中的另一对密钥? 我所能find的是让服务器重新生成它们的说明。
validation.pem是厨师服务器chef-validator中特殊客户端的私钥。 而webui.pem是厨师客户端webui的私钥。
您可以通过刀API或厨师服务器Web UI重新生成任何客户端的私钥/公钥。
就个人而言,我不会build议“replace”一个私钥,但重新生成它,因为这是敏感的数据,你最好不要长期使用一个特殊的密钥。 相反,为了安全起见,请在一定时间内重新生成。
但是,可以破解厨师11服务器主机的/var/opt/chef-server/bookshelf/data下的书架数据存储以更改存储在目标文件中的公钥。 例如,当您执行command knife client show chef-validator -VV时,可以提取对象URL。 我强烈推荐这种方式,因为它是黑客行为。