web-dev-qa-db-ja.com

puppetバージョン5での証明書の生成と署名

Centos 7を実行している2台の同一のLinuxマシン(1台はマスター、もう1台はエージェント)にpuppet5.3.2をインストールして構成しようとしています。両方の公式リポジトリからパペットをインストールし、以下を追加しました。

/etc/hostsのマスターノード

127.0.0.1                 <master hostname>
<master node ipaddress>   puppet, <master node hostname>
<agent node ipaddress>    <agent node hostname>

/etc/hostsのエージェントノード

127.0.0.1                 <agent hostname>
<master node ipaddress>   puppet, <master node hostname>
<agent node ipaddress>    <agent node hostname>

/etc/puppetlabs/puppet/puppet.confのマスターノード

[master]
vardir = /opt/puppetlabs/server/data/puppetserver
logdir = /var/log/puppetlabs/puppetserver
rundir = /var/run/puppetlabs/puppetserver
pidfile = /var/run/puppetlabs/puppetserver/puppetserver.pid
codedir = /etc/puppetlabs/code
dns_alt_names = puppet, <master node hostname>
certname = puppet

エージェントノードin/etc/puppetlabs/puppet/puppet.conf

server = puppet, <master node hostname>

Puppetサーバーが正常に起動します。ただし、マスターとエージェントの両方に適切な証明書を生成して署名する必要があります。このために、最初に、puppetserverがpuppetマスターノードで停止していることを確認し、次に、発行するpuppetマスターノードで停止します。

Sudo /opt/puppetlabs/bin/puppet cert list -a

SHA256証明書が表示されます。

今、私はさらに進む方法がわかりません。任意の入力をいただければ幸いです。

1
hypersonics

私はこれを機能させることができました。基本的に、パペットサーバーが最初に起動されると、証明書が生成され、これを表示できます。

Sudo /opt/puppetlabs/bin/puppet cert list -a

次に、エージェントノードで、エージェントが実行されている場合は、以下を使用してパペットエージェントを停止します(これはsystemctl status puppetで確認できます)。

systemctl stop puppet

パペットマスターによる署名が必要な証明書をパペットエージェントに作成します。証明書は次の方法で生成できます。

/opt/puppetlabs/bin/puppet agent -t

マスターノードでは、エージェント証明書は次のユーザーが表示できます。

/opt/puppetlabs/puppet cert list -a

そのために、エージェント証明書に今すぐ署名する必要があります

/opt/puppetlabs/puppet cert sign <puppet agent hostname>

証明書に署名したら、これを確認する必要があります。ただし、検証する前に、パペットエージェントが稼働している必要があります。

systemctl start puppet
systemctl enable puppet
/opt/puppetlabs/bin/puppet agent --fingerprint #certificate verification
2
hypersonics