通过Puppet使用备用CA(例如Microsoft证书服务)

10

我正在调查是否可以以某种方式使人偶生态系统利用我们现有的Microsoft Enterprise CA,而不是成为其自己的CA。

由于puppet吹捧所有系统都是“标准SSL”,因此我猜想完全有可能做到这一点而无需更改puppet,但是除非编辑puppet以对企业进行正确的调用,否则这可能是一个巨大的手动操作CA。

有人尝试过吗?难道是“龙来了,转身离开!” 情况?

ssl-certificate  puppet  certificate-authority 
彼得·格雷斯
source
3
我以前没有做过,但是我要采用的方法是从AD中铸造一个从属CA证书,并用这些文件预填充puppetmaster SSL目录。和希望。
sysadmin1138
您希望如何颁发证书?您是否期望the客户端以某种方式自行请求这些请求?
Zoredache

Answers:

2

puppet中的证书验证和层次结构行为的确是标准SSL,但这只是部分标准的实现- 长期存在功能请求,以提高其对更复杂部署的支持

如果目标是将证书颁发和批准转移到AD证书服务系统(并且不再输入puppet cert sign),那么您可能会很幸运,而无需进行一些软件开发工作。

客户端使用Puppet自己的REST API来处理发出证书请求,获取签名的证书,AIA和CRL访问等。您需要在这些API调用和AD证书服务RPC访问点之间实现粘合。

但是,如果您只是想在AD CS根目录下的Puppet证书中建立信任链,则sysadmin1138的建议应该很好用(尽管我也没有进行测试-我会花一些时间来进行更新)您)。

Puppet客户端会将中间Puppet CA视为根CA(无需知道根即可进行工作验证),同时仍是真实根CA的有效后代。

沙恩·马登(Shane Madden)
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.