我正在使用 SSL 设置 Puppetdb 并遇到证书问题。
我使用 Nginx 作为 Puppet 的 SSL 代理,所以我的 CA 由这台 Nginx 代理机器上的混合服务器管理。
如果我在 Nginx 机器上使用 CA 为我的 Puppetdb URI 生成证书,我可以使用该puppetlabs-puppetdb模块设置 Puppetdb(因为 Puppet 代理使用代理的 CA),但是 Puppetmaster 无法连接到它,因为它有自己的 CA 证书,它是自己生成的。
如果我使用 Puppetmasters 之一为 Puppetdb URI 生成证书,我无法使用该puppetlabs-puppetdb模块部署 Puppetdb,因为 Puppet 代理不使用相同的 CA 证书。
我能做些什么来调和这一切?我能否在我的 puppetmasters 上完全关闭 SSL(因为 SSL 由 Nginx 代理管理)并让他们使用代理的 CA 连接到 Puppetdb?
我为我的 puppetmasters 使用了错误的设置,即让他们在单独的目录中创建自己的 CA。这个链接清除了它。我现在:
/var/lib/puppet/ssl目录)。这确保它对两种模式使用相同的 CA;ca=false(部分master),这样 puppetmaster 就不会抱怨使用他自己以外的其他 CA;certname=为 puppetmasters 指定并让他们使用机器的名称,就像在代理模式中所做的那样。