自动查找正确的中间CA证书

时间:2017-02-21 15:05:42

标签: ssl puppet puppetlabs-apache

我们正在使用Puppet来配置使用Puppetlabs的Apache模块运行Apache HTTPD的多个集群。

所有证书都存储在Gup存储库中,Puppet已经可以访问(例如puppet://files-host/path/to/certs/${fqdn}.crt)。

现在我们必须为每个使用过的证书明确指定中间CA证书(apache类中的ssl_chain变量)。

是否可以让Puppet自动找到正确的中间CA证书?在一个真实的"脚本语言我将迭代所有* .pem文件,并将主题与证书的颁发者进行比较。但这怎么可能在Puppet中起作用?

我们不希望将中间CA证书嵌入到所有证书中。

1 个答案:

答案 0 :(得分:0)

我已经找到了解决问题的方法。这不是最佳方式,但它似乎是Puppet托管基础架构中唯一的方式。

所有中间CA证书都位于git存储库中的单个目录中,Puppet会将该文件夹的全部内容放入托管主机(将文件资源的“递归”和“清除”属性设置为true)。

还使用文件资源部署每个证书和密钥文件。证书文件的文件资源将通知执行shell script的exec资源,该权限将正确的CA证书符号链接到静态文件路径(即/etc/ssl/private/my-domain.pem - > / etc / ssl / ca /​​ some-ca.pem。因此每个FQDN有三个文件(fqdn.crt,fqdn.key和fqdn.pem)。