我正在使用 SSL 设置 Puppetdb,但遇到了证书问题。
我正在使用 Nginx 作为 Puppet 的 SSL 代理,因此我的 CA 由这台 Nginx 代理机器上的混合服务器管理。
如果我使用 Nginx 机器上的 CA 为我的 Puppetdb URI 生成证书,我就能够使用该puppetlabs-puppetdb模块设置 Puppetdb(因为 Puppet 代理使用代理的 CA),但是 Puppetmaster 无法连接到它,因为它有自己的 CA 证书,是自己生成的。
如果我使用其中一个 Puppetmaster 为 Puppetdb URI 生成证书,则我无法使用该puppetlabs-puppetdb模块部署 Puppetdb,因为 Puppet 代理不使用相同的 CA 证书。
我该怎么做才能解决这一切?我可以完全关闭我的 Puppetmaster 上的 SSL(因为 SSL 由 Nginx 代理管理)并让他们使用代理的 CA 连接到 Puppetdb 吗?
答案1
我对我的傀儡大师使用了错误的设置,即让他们在单独的目录中创建自己的 CA。此链接清理干净了。我现在:
- 在代理模式和主模式中使用相同的目录(在我的情况下是标准
/var/lib/puppet/ssl目录)。这确保它在两种模式下使用相同的 CA; ca=false在傀儡大师(部分)上使用master,这样傀儡大师就不会抱怨使用与他自己的不同的 CA;- 停止
certname=为 puppetmasters 指定并让他们使用机器的名称,就像在代理模式下一样。