我正在研究是否可以以某种方式让 puppet 生态系统利用我们现有的 Microsoft Enterprise CA,而不是它自己的 CA。
由于 puppet 宣称整个系统都是“标准 SSL”,我猜测完全可以在不对 puppet 进行太多更改的情况下做到这一点,但是除非对 puppet 进行编辑以正确调用企业 CA,否则这可能会带来巨大的手动麻烦。
有人试过吗?是不是“这里有龙,转身走开!”的情况?
答案1
puppet 中的证书验证和层次结构行为确实是标准 SSL,但它是标准的部分实现 - 有一个长期以来,人们一直要求改进其对更复杂部署的支持。
如果目标是将证书颁发和批准转移到 AD 证书服务系统(并且无需再次输入puppet cert sign),那么如果没有一些软件开发工作,您可能会很不走运。
客户端使用 Puppet 自己的 REST API 来处理发出证书请求、获取签名证书、AIA 和 CRL 访问等;您需要在这些 API 调用和 AD 证书服务 RPC 访问点之间实现粘合。
但是,如果您只是希望您的 Puppet 证书位于您的 AD CS 根下的信任链中,那么 sysadmin1138 的建议应该会很有效(尽管我也没有测试过 - 我会找时间这样做并向您更新)。
Puppet 客户端将把中间 Puppet CA 视为根 CA(这将产生工作验证而不需要了解根),同时仍然是真正的根 CA 的有效后代。