Score:0

จะสร้างใบรับรองสำหรับเซิร์ฟเวอร์หุ่นคอมไพล์ (รอง) ได้อย่างไร

ธง ng

ฉันพยายามที่จะ เซิร์ฟเวอร์หุ่นกระบอกขนาดเพื่อให้มีความซ้ำซ้อน โดยใช้ DNS แบบวนรอบ รอง เซิร์ฟเวอร์หุ่นกระบอก (เวอร์ชั่น 7.4.0) ได้รับการกำหนดค่าให้ใช้สิทธิ์ CA จากหลัก เซิร์ฟเวอร์หุ่นกระบอก:

/etc/puppetlabs/puppet/puppet.conf:

[หลัก]
ca_name = หุ่นเชิด CA: puppet-ca-master.company.com
ca_server = หุ่นกระบอก ca-master.company.com
[ตัวแทน]
เซิร์ฟเวอร์ = ตุ๊กตา-ca-master.company.com
ระยะวิ่ง=1800

บนเซิร์ฟเวอร์รอง ฉันได้ปิดใช้งานบริการ CA เนื่องจากอาจมีผู้ออกใบรับรองเพียงรายเดียวใน /etc/puppetlabs/puppetserver/services.d/ca.cfg:

# หากต้องการเปิดใช้งานบริการ CA ให้เว้นบรรทัดต่อไปนี้โดยไม่ต้องใส่ความคิดเห็น
# puppetlabs.services.ca.certificate-authority-service/certificate-authority-service
# หากต้องการปิดใช้งานบริการ CA ให้แสดงความคิดเห็นในบรรทัดด้านบนและยกเลิกการแสดงความคิดเห็นในบรรทัดด้านล่าง
puppetlabs.services.ca.certificate-authority-disabled-service/certificate-authority-disabled-service
puppetlabs.trapperkeeper.services.watcher.filesystem-watch-service/filesystem-watch-service

ฉันได้ลบใบรับรองออกจากใบรับรองรองเพื่อดึงใบรับรองที่ลงชื่อใบรับรองจากต้นแบบ CA:

rm -rf /etc/puppetlabs/puppet/ssl && mkdir -p /etc/puppetlabs/puppet/ssl/certs
chmod 0700 /etc/puppetlabs/หุ่นกระบอก/ssl
chown -R หุ่นเชิด /etc/puppetlabs/puppet/ssl

อย่างไรก็ตาม เซิร์ฟเวอร์หุ่นกระบอก บริการปฏิเสธที่จะเริ่มต้นเนื่องจากไม่มีใบรับรอง:

2021-09-30T09:06:18.220+02:00 ERROR [async-dispatch-2] [p.t.internal] เกิดข้อผิดพลาดระหว่างการเริ่มบริการ!!!
java.lang.IllegalArgumentException: ไม่สามารถเปิดไฟล์ 'ssl-cert': /etc/puppetlabs/puppet/ssl/certs/secondary-puppetserver.company.com.pem

เมื่อฉันพยายามที่จะวิ่ง ตัวแทนหุ่นเชิด -t บนเซิร์ฟเวอร์หุ่นสำรองไม่สามารถลงนามใบรับรองได้:

ไม่สามารถดึงใบรับรองจากเซิร์ฟเวอร์ CA; คุณอาจต้องลงชื่อใบรับรองของตัวแทนนี้ (secondary-puppetserver.company.com)

ยิ่งกว่านั้นรหัสส่วนตัวจะถูกสร้างขึ้น แต่ไม่ใช่รหัสสาธารณะ:

ll /etc/puppetlabs/puppet/ssl/public_keys/
รวม 0
Score:0
ธง ng

ด้วยการกำหนดค่าหลัก DNS CA แบบวนรอบ /etc/puppetlabs/puppetserver/conf.d/ca.conf จำเป็นต้องรวม:

อนุญาตหัวเรื่อง alt ชื่อ: จริง

เริ่มต้นใหม่ เซิร์ฟเวอร์หุ่นกระบอก และสร้างใบรับรองสำหรับเซิร์ฟเวอร์รองบน ​​CA หลัก:

เซิร์ฟเวอร์หุ่นสร้าง --certname puppet-secondary.company.com --subject-alt-names=puppet-secondary.company.com,puppet.company.com

ใบรับรองการโอน:

rsync -a /etc/puppetlabs/puppet/ssl/private_keys/puppet-secondary.company.com.pem รองหุ่น:/etc/puppetlabs/puppet/ssl/private_keys/
rsync -a /etc/puppetlabs/puppet/ssl/certs/puppet-secondary.company.com.pem รองหุ่นกระบอก:/etc/puppetlabs/puppet/ssl/certs/
rsync -a /etc/puppetlabs/puppet/ssl/public_keys/puppet-secondary.company.com.pem รองหุ่น:/etc/puppetlabs/puppet/ssl/public_keys/

และแคลิฟอร์เนีย

rsync -ra /etc/puppetlabs/puppetserver/ca/{ca_crl.pem,ca_crt.pem} รองหุ่น:/etc/puppetlabs/puppetserver/ca/

ในระดับรอง ตรวจสอบให้แน่ใจว่าปิดใช้งานบริการ CA ใน /etc/puppetlabs/puppetserver/services.d/ca.cfg.

และตรวจสอบให้แน่ใจว่าเว็บเซิร์ฟเวอร์ได้รับการกำหนดค่าให้ใช้ใบรับรองที่ถูกต้อง /etc/puppetlabspuppetserver/conf.d/webserver.conf:

เว็บเซิร์ฟเวอร์: {
    การเข้าถึงล็อกการกำหนดค่า: /etc/puppetlabs/puppetserver/request-logging.xml
    ลูกค้ารับรองความถูกต้อง: ต้องการ
    โฮสต์ ssl: 0.0.0.0
    ssl-พอร์ต: 8140
    ssl-cert: /etc/puppetlabs/puppet/ssl/certs/puppet-secondary.company.com.pem
    ssl-key: /etc/puppetlabs/puppet/ssl/private_keys/puppet-secondary.company.com.pem
    ssl-ca-cert: /etc/puppetlabs/puppetserver/ca/ca_crt.pem
    ssl-crl-path: /etc/puppetlabs/puppetserver/ca/ca_crl.pem
}

สามารถตรวจสอบชื่อ alt DNS หลักใน CA ได้ เซิร์ฟเวอร์หุ่นทั้งหมดจำเป็นต้องมีชื่อโดเมนเดียวกันและชื่อเฉพาะอื่นๆ

รายชื่อเซิร์ฟเวอร์หุ่นกระบอก -- ทั้งหมด

มองหา ชื่ออื่น: ["DNS: ... . เมื่อใบรับรองถูกสร้างขึ้นโดยใช้ หุ่นตัวแทนไม่รวมชื่อ alt

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา