使用 Puppet 的替代 CA(如 Microsoft 证书服务)

使用 Puppet 的替代 CA(如 Microsoft 证书服务)

我正在研究是否可以以某种方式让 puppet 生态系统利用我们现有的 Microsoft Enterprise CA,而不是它自己的 CA。

由于 puppet 宣称整个系统都是“标准 SSL”,我猜测完全可以在不对 puppet 进行太多更改的情况下做到这一点,但是除非对 puppet 进行编辑以正确调用企业 CA,否则这可能会带来巨大的手动麻烦。

有人试过吗?是不是“这里有龙,转身走开!”的情况?

答案1

puppet 中的证书验证和层次结构行为确实是标准 SSL,但它是标准的部分实现 - 有一个长期以来,人们一直要求改进其对更复杂部署的支持

如果目标是将证书颁发和批准转移到 AD 证书服务系统(并且无需再次输入puppet cert sign),那么如果没有一些软件开发工作,您可能会很不走运。

客户端使用 Puppet 自己的 REST API 来处理发出证书请求、获取签名证书、AIA 和 CRL 访问等;您需要在这些 API 调用和 AD 证书服务 RPC 访问点之间实现粘合。

但是,如果您只是希望您的 Puppet 证书位于您的 AD CS 根下的信任链中,那么 sysadmin1138 的建议应该会很有效(尽管我也没有测试过 - 我会找时间这样做并向您更新)。

Puppet 客户端将把中间 Puppet CA 视为根 CA(这将产生工作验证而不需要了解根),同时仍然是真正的根 CA 的有效后代。

相关内容