配置自动签名以自动替换重新安装的机器的证书?

配置自动签名以自动替换重新安装的机器的证书?

有时我们必须多次启动机器才能一切正常。首先手动删除 Puppetmaster 上的 SSL 证书会变得非常麻烦,尤其是因为不是每个人都有 Puppetmaster 的 SSH 访问权限。

如何防止证书出现问题?我们使用自动签名,服务器启动正常,除非我们必须再次启动同一台服务器。这需要我们首先手动删除 Puppetmaster 上的证书。

答案1

使用皮匠DHCP启动您的机器。它只是通常的+ TFTP+ PXE+工作流程之上的薄层kickstart,具有额外的功能,其中之一就是能够puppet在启动的机器上进行引导。

具体来说,相关的配置puppet是这样的:

# 如果启用,此设置可确保在安装 Puppet 期间
# 机器配置,生成客户端证书,并且
# 向 Puppet 主服务器发出证书签名请求
puppet_自动_设置:0

# 当 Puppet 安装后在系统上启动时,它需要
# 其证书由 Puppet Master 服务器签名。启用
# 以下功能将确保 Puppet 服务器签署
# 安装后证书如果 Puppet 主服务器是
# 与 cobbler 在同一台机器上运行。这需要
# 上面的 puppet_auto_setup 需要启用
自动签名证书:0

# 用于撤销证书的 puppet 可执行文件的位置
puppetca_path:“/usr/bin/puppet”

# 当重新安装 puppet 管理的机器时,需要
# 在执行以下任一操作之前,从 Puppet 主服务器中删除 Puppet 证书:
# 新证书已签名(见上文)。启用以下
# 功能将确保机器的证书
# 如果 puppet 已安装,则会从 puppet 主服务器中删除
# 主服务器与 cobbler 在同一台机器上运行。这
# 需要启用上面的 puppet_auto_setup
自动删除旧木偶证书:0

# 在 kickstart 期间运行 puppetd/puppet 代理时选择 --server 参数
#puppet_server:'puppet'

# 让 cobbler 知道你正在使用新版本的 puppet
# 选择使用版本 3:“puppet agent”;版本 2 使用现状:“puppetd”
#puppet_版本: 2

# 选择是否启用 puppet 参数化类。
# 2.6.5 之前的 puppet 版本不支持参数
#puppet_参数化_类:1

您对该参数感兴趣remove_old_puppet_certs_automatically

相关内容