问题就在这里...
3 年前,我们创建了一个多数据中心设置,并尽可能减少跨 DC 资源依赖。不同的 AD 站点。不同的 puppetmaster。不同的 syslog 服务器。不同的出口防火墙。不同的 DNS 解析器。不同的出站邮件中继。这些工作。这很好,效果很好。
现在我正尝试安装 Mcollective,以便我们可以执行一些分布式命令并从 puppet 中获取一些报告内容。目前规则设置了 cron-jobs,这些 cron-jobs 运行 puppet 推送的 bash 脚本,将输出转储到 NFS 共享,这似乎是 mcollective 之类的主要候选者。
最大的问题是,这两个傀儡大师正在使用不链接到任何东西的证书颁发机构,而 Mcollective 使用 CA 验证作为其 authn/authz 方案的关键部分。
是否可以使用第三方机构重新签署 CA 证书,从而创建单一证书链?
我们已经在所有东西上都拥有了 Puppet 证书,天哪,如果我们可以重复使用这些证书,那就太好了。照这样下去,我们最终会得到两个独立的 mcollective 环境,这意味着我们的自动化必须连接到特定于 DC 的端点才能执行命令。如果我们有一个单点,那就太好了,尤其是因为 activemq 可以处理这种架构。
用相同的序列号用脚本重新生成所有客户端证书?
OpenSSL 魔法涉及吗-set_serial?
我真的宁愿避免重新键入这些傀儡大师中的所有数百个节点,但如果这是唯一可行的方法,那就这样吧。