我读到傀儡证书的默认到期日期是5年,并且可以使用ca_ttl中的属性puppet.conf进行设置。
我有两个问题,给出了许多连接木偶大师的代理人的设置。
代理商证书到期后会发生什么?它是在办理登机手续时自动创建一个新的,还是需要手动完成?
CA证书过期后会发生什么?设置是否完全断开连接,要求您通过SSH连接到每个代理以删除过期的证书?
答案 0 :(得分:4)
代理证书到期
当代理商的证书过期时,未来的代理签入将很快失败。我不记得确切的错误,但它会像:
错误:无法从远程服务器检索目录:SSL_connect返回= 1 errno = 0状态= SSLv3读取服务器证书B:证书验证失败。
当发生这种情况时,您必须从主服务器上删除证书,在代理上重新生成证书,然后在主服务器上重新签名证书:这只会影响一个代理。
此处记录了完整流程:https://docs.puppet.com/pe/latest/agent_cert_regen.html
NB:这通常是相当罕见的,因为大多数人都试图寻找一种不是宠物的牲畜,机器经常上下旋转,代理机器不存在超过5年。PuppetServer / master证书有效期
当CA证书本身过期时,一切都会停止:由于权限本身已过期,因此无法进行通信。这种情况更为常见,因为Puppet Master更有可能存在超过5年。
但是是的:如果证书已经过期,您需要另一种配置方式,例如SSH,控制台访问或WinRM。
Puppet实际上创建了一个辅助模块来帮助完成这个过程,因为OpenSSL步骤有点繁琐,无法手动尝试:
https://github.com/puppetlabs/puppetlabs-certregen
手动流程也在这里:
https://docs.puppet.com/puppet/latest/ssl_regenerate_certificates.html