Puppet-SSL署名証明書のセットアップ

PuppetエージェントソフトウェアがPuppetノードで初めて実行されると、証明書が生成され、証明書署名要求がPuppetマスターに送信されます。 Puppetサーバーは、エージェントノードと通信して制御する前に、その特定のエージェントノードの証明書に署名する必要があります。 以下のセクションでは、署名要求に署名して確認する方法について説明します。

現在の証明書要求を一覧表示する

Puppetマスターで、次のコマンドを実行して、すべての未署名の証明書要求を表示します。

$ sudo/opt/puppetlabs/bin/puppet cert list

新しいエージェントノードをセットアップしたばかりなので、承認の要求が1つ表示されます。 以下が*出力*です。

"Brcleprod004.brcl.com" (SHA259)
15:90:C2:FB:ED:69:A4:F7:B1:87:0B:BF:F7:ll:
B5:1C:33:F7:76:67:F3:F6:45:AE:07:4B:F 6:E3:ss:04:11:8d

先頭に+（記号）が含まれていません。これは、証明書がまだ署名されていないことを示します。

リクエストに署名する

Puppetエージェントの実行が新しいノードで行われたときに生成された新しい証明書要求に署名するために、Puppet cert signコマンドが使用され、証明書のホスト名が必要になります。署名する。 Brcleprod004.brcl.comの証明書があるので、次のコマンドを使用します。

$ sudo/opt/puppetlabs/bin/puppet cert sign Brcleprod004.brcl.com

以下が*出力*です。

Notice: Signed certificate request for Brcle004.brcl.com
Notice: Removing file Puppet::SSL::CertificateRequest Brcle004.brcl.com at
'/etc/puppetlabs/puppet/ssl/ca/requests/Brcle004.brcl.com.pem'

パペットサーバーは、サイン証明書が属するノードと通信できるようになりました。

$ sudo/opt/puppetlabs/bin/puppet cert sign --all

Puppetセットアップからのホストの取り消し

ホストをセットアップから削除して再度追加する必要がある場合、カーネルの再構築の構成には条件があります。 これらは、Puppet自体では管理できない状態です。 次のコマンドを使用して実行できます。

$ sudo/opt/puppetlabs/bin/puppet cert clean hostname

すべての署名済みリクエストの表示

次のコマンドは、要求が承認されたことを示す+（署名）付きの署名付き証明書のリストを生成します。

$ sudo/opt/puppetlabs/bin/puppet cert list --all

以下はその output です。

+ "puppet" (SHA256) 5A:71:E6:06:D8:0F:44:4D:70:F0:
BE:51:72:15:97:68:D9:67:16:41:B0:38:9A:F2:B2:6C:B
B:33:7E:0F:D4:53 (alt names: "DNS:puppet", "DNS:Brcle004.nyc3.example.com")

+ "Brcle004.brcl.com" (SHA259) F5:DC:68:24:63:E6:F1:9E:C5:FE:F5:
1A:90:93:DF:19:F2:28:8B:D7:BD:D2:6A:83:07:BA:F E:24:11:24:54:6A

+ " Brcle004.brcl.com" (SHA259) CB:CB:CA:48:E0:DF:06:6A:7D:75:E6:CB:22:BE:35:5A:9A:B3

上記が完了したら、Puppetマスターが新しく追加されたノードを管理できるインフラストラクチャを準備します。