web-dev-qa-db-ja.com

puppetdbのSSLの問題

SSLを使用してPuppetdbをセットアップしていますが、証明書に問題があります。

NginxをPuppetのSSLプロキシとして使用しているので、私のCAはこのNginxプロキシマシン上の雑種サーバーによって管理されています。

NginxマシンのCAを使用してPuppetdbURIの証明書を生成すると、puppetlabs-puppetdbモジュールを使用してPuppetdbをセットアップできますが(PuppetエージェントはプロキシのCAを使用するため)、Puppetmasterは接続できませんそれはそれ自体を生成する独自のCA証明書を持っているからです。

Puppetmasterの1つを使用してPuppetdbURIの証明書を生成した場合、Puppetエージェントは同じCA証明書を使用しないため、puppetlabs-puppetdbモジュールを使用してPuppetdbをデプロイできません。

これらすべてを調整するために何ができますか? puppetmasterのSSLを完全にオフにして(SSLはNginxプロキシによって管理されているため)、プロキシのCAを使用してPuppetdbに接続することはできますか?

1
ℝaphink

Puppetmasterに間違った設定を使用していました。つまり、別のディレクトリに独自のCAを作成させていました。 このリンク それをクリアしました。今私は:

  • エージェントモードとマスターモードで同じディレクトリを使用します(私の場合、標準の/var/lib/puppet/sslディレクトリ)。これにより、両方のモードで同じCAが使用されるようになります。
  • Puppetmaster(セクションmaster)でca=falseを使用して、puppetmasterが自分以外のCAの使用について文句を言わないようにします。
  • Puppetmastersにcertname=を指定するのをやめ、エージェントモードで行われるようにマシンの名前を使用できるようにします。
1
ℝaphink