Thứ ba, 13/12/2016 | 00:00 GMT+7

Cách quản lý chứng chỉ puppet 4


Một tấm cheat puppet

Puppet là một công cụ quản lý cấu hình giúp administrator hệ thống tự động hóa việc cung cấp, cấu hình và quản lý cơ sở hạ tầng server . Nó thường chạy ở chế độ chủ / đại lý trong đó server chính quản lý cấu hình của một số nút tác nhân. Giao tiếp giữa chủ và đại lý được cấp và bảo mật bằng HTTPS do khách hàng xác minh, certificate request SSL nhận dạng hợp lệ. Puppet master đóng role là cơ quan cấp certificate để quản lý các certificate này.

Hướng dẫn kiểu ghi chú này cung cấp một tra cứu nhanh để sử dụng lệnh puppet cert để quản lý các certificate đó.

Cách sử dụng Hướng dẫn này:

  • Hướng dẫn này ở định dạng ghi chú với các đoạn dòng lệnh độc lập
  • Chuyển đến bất kỳ phần nào có liên quan đến nhiệm vụ bạn đang cố gắng hoàn thành.

Lưu ý: Nếu puppet không có trong đường dẫn của bạn, bạn cần cung cấp đường dẫn đầy đủ cho puppet trong các lệnh bên dưới.

Yêu cầu certificate danh sách

Khi server tác nhân Puppet trực tuyến, nếu mọi thứ được cấu hình đúng, chúng sẽ đưa ra yêu cầu ký certificate cho server Puppet . Các yêu cầu này có thể được xem xét bằng lệnh puppet cert list .

Liệt kê tất cả các yêu cầu, đã ký và chưa ký

Để xem tất cả các certificate request , đã ký và chưa ký, hãy sử dụng cờ --all như sau:

  • sudo puppet cert list --all

Yêu cầu đã ký được đặt trước dấu cộng ( + ) và yêu cầu chưa ký thì không. Trong kết quả bên dưới, host2.example.com chưa được ký, trong khi host1puppet có:

Output:
+ "host1.example.com" (SHA256) 51:D8:7A:EB:40:66:74:FD:0A:03:5D:35:AA:4D:B3:FA:35:99:C2:A8:C9:01:83:34:F6:16:60:BB:46:1F:33:3F "host2.example.com" (SHA256) 3C:A9:96:3A:8D:24:5F:25:DB:FF:67:B5:22:B1:46:D9:89:F1:75:EC:BA:F2:D6:87:70:0C:59:97:11:11:01:E3 + "puppet.example.com" (SHA256) 12:32:47:18:D1:12:85:A6:EA:D4:51:9C:24:96:E2:8A:51:41:8D:EB:E8:7C:EB:47:94:B0:8B:16:16:51:6A:D1 (alt names: "DNS:puppet", "DNS:puppet.localdomain", "DNS:puppet.example.com")

Liệt kê các yêu cầu chưa ký

Trước khi Server puppet có thể giao tiếp và điều khiển nút tác nhân, nó phải ký certificate của nút tác nhân cụ thể đó. Để xem lại các yêu cầu chưa được ký, hãy sử dụng lệnh puppet cert list từ server Puppet :

  • sudo puppet cert list

Điều này sẽ chỉ liệt kê các yêu cầu chưa được ký. Đầu ra sẽ giống như sau:

Output:
"host2.example.com" (SHA256) 9D:49:DE:46:1C:0F:40:19:9B:55:FC:97:69:E9:2B:C4:93:D8:A6:3C:B8:AB:CB:DD:E6:F5:A0:9C:37:C8:66:A0

Việc không có dấu cộng ( + ) cho thấy các certificate này chưa được ký. Nếu không có yêu cầu nào chưa được ký, bạn sẽ được đưa trở lại dấu nhắc lệnh mà không có kết quả .

Ký certificate request

Ký các yêu cầu cụ thể

Để ký một certificate request , hãy sử dụng lệnh puppet cert sign , với một hoặc nhiều tên server như trong certificate request .

  • puppet cert sign host2.example.com

Đầu ra tương tự như ví dụ bên dưới cho biết rằng certificate request đã được ký:

Output:
Notice: Signed certificate request for host1.example.com Notice: Removing file Puppet::SSL::CertificateRequest host2.example.com at '/etc/puppetlabs/puppet/ssl/ca/requests/host1.example.com.pem'

Ký tất cả các yêu cầu

Bạn có thể ký tất cả các yêu cầu bằng cách thêm cờ --all :

  • sudo puppet cert sign --all

Thu hồi certificate

Cuối cùng, bạn có thể cần xóa một server khỏi Puppet hoặc tạo lại một server rồi thêm lại. Trong trường hợp này, bạn cần thu hồi certificate của server lưu trữ từ Puppet master. Để làm điều này, hãy sử dụng hành động clean :

Lưu ý: Tạo folder backup /etc/puppetlabs/puppet/ssl/ trước khi thu hồi certificate với:

  • sudo cp -R /etc/puppetlabs/puppet/ssl/ /root/

Thu hồi các certificate cụ thể

Bạn có thể thu hồi một hoặc nhiều certificate cụ thể với certificate puppet cert clean bằng cách cung cấp một hoặc nhiều tên server khi chúng xuất hiện trong certificate :

  • sudo puppet cert clean host1.example.com

Sau khi thu hồi certificate , bạn phải khởi động lại Puppet master để việc thu hồi có hiệu lực.

  • sudo service puppetserver reload

Lần tới khi puppet agent chạy trên nút tác nhân, nó sẽ gửi một yêu cầu ký certificate mới đến chủ nhân của puppet , có thể được ký bằng puppet cert sign . Bạn có thể kích hoạt yêu cầu ngay lập tức với:

  • sudo puppet agent --test

Thu hồi nhiều certificate

Puppet không cho phép xóa hàng loạt certificate có cờ - --all , nhưng có thể thu hồi nhiều certificate cùng một lúc bằng cách cung cấp tên server , được phân tách bằng dấu cách:

  • sudo puppet cert clean host1.example.com host2.example.com . . .

Sau khi thu hồi certificate , bạn phải khởi động lại Puppet master để việc thu hồi có hiệu lực.

  • sudo service puppetserver reload

Kết luận

Hướng dẫn này bao gồm một số lệnh phổ biến để quản lý certificate Puppet trong Puppet version 4.x. Có các hành động và cờ khác được dùng với puppet cert . Để có danh sách đầy đủ, hãy xem trang người đàn ông puppet cert .


Tags:

Các tin liên quan