我正在尝试解决与过期的ca证书相关的问题。
我替换了位于/etc/puppetlabs/puppet/ssl/ca/ca_crt.pem 的证书(使用these instructions)。
然后重启了puppet-server,但代理仍然看到过期的证书。
我注意到还有一个值localcacert指向路径etc/puppetlabs/puppet/ssl/certs/ca.pem略有不同。
我看到这个小snippet on Puppet documentation:
每个客户端存储CA证书。
默认值:$ certdir / ca.pem
我对此感到困惑。该描述使它听起来像客户端存储证书的文件夹,但值是单个pem文件。
有人可以澄清这两个文件之间的区别吗?
如果我更新一个,我可以用新的pem覆盖另一个吗?
答案 0 :(得分:1)
有人可以澄清这两个文件之间的区别吗?
cacert设置仅与主设备相关。它指定证书的位置,主托管CA将与其签署通信。
localcacert设置指定客户端CA证书副本的位置(包含公钥,而不是私钥)。这是计算机用于验证CA签名的证书的原因。
在这两种情况下,您都不应过多地阅读“位置”一词。这些设置指定证书文件,而不是目录。