在Puppet代理的初始配置期间,代理获得由主服务器识别的权限(通常是主服务器本身)签署的安全证书,随后它将向主服务器标识自己。此证书是否过期或需要更新?
答案 0 :(得分:5)
是的,由Puppet CA签署的所有证书都有一个到期日期,包括代理证书,主证书以及CA自己的自签名证书(如果实际上它正在使用此证书)。通过将固定偏移量(由配置设置ca_ttl指定)添加到日期和时间来设置到期时间戳。证书签署的时间。默认ttl为五年,足以涵盖许多组织中所有机器的整个使用寿命。
比代理证书过期更有问题的是CA证书过期。如果您在不配置新CA证书的情况下实现这一点,那么master和节点将拒绝彼此的证书,强制您手动为所有证书配置新证书。