Puppet采用SSL隧道通信,需要申请证书来验证。注册认证签发方式基本上有三种:手动注册认证
、自动注册认证
和 预签名注册认证
。
手动注册认证签发
手动注册认证签发是由Client(Agent)端先发起证书申请请求,然后由Master(Server)端指令确认方可完成认证签发实现注册。备很多会相当麻烦,而puppet cert sign --all
次性注册所有的Client(Agent)的请求,安全系数较低。自动注册认证
自动注册认证通过Master(Server)端的ACL策略控制的,符合预先配置的ACL列表的所有节点证书签发请求不需要确认会被自动注册。预签名注册认证
预签名注册认证是在Client(Agent)端未申请证书签发的情况下(可能相关Client尚未存在),预先在Master(Server)端生成Client(agent)端的注册证书,然后复制到Client节点对应的目录下即可注册成功。**这种注册认证的方式是最安全的,建议在生产环境下采用这种认证方式。**
上一篇 RedHat6.5 puppet配置(二)- 服务端与客户端部署配置 认证签发采用的是第一种方式**手动注册认证签发**
,接下来我们将测试这三种认证签发模式中的第二种方式**自动注册认证**
。
自动注册认证
- 清除已经签发的认证证书
# 清除指定Agent节点证书,当然指定--all也可以清除所有的
[root@puppet-master ~]# puppet cert clean glusterfs01.example.com
# 查询是否已经清除
[root@puppet-master ~]# puppet cert list --all
# [output ignore]
# 在相应的Agent端删除注册过的证书
[root@glusterfs01 ~]# rm -rf /var/lib/puppet/ssl/*
- 自动注册认证,配置方式如下
#puppet-master端配置
[main]
...
autosign = true
autosign = /etc/puppet/autosign.conf
[agent]
...
# 创建autosign.conf文件,配置自动认证
[root@puppet-master ~]# cat /etc/puppet/autosign.conf
*.example.com
# 重新启动服务
[root@puppet-master ~]# service puppetmaster restart
- 在相应Agent申请证书,证书自动签发
# puppet client重新请求证书签发,可以看到已经自动签发
[root@glusterfs01 ~]# puppet agent --test
Info: Creating a new SSL key for glusterfs01.example.com
Info: Caching certificate for ca
Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml
Info: Creating a new SSL certificate request for glusterfs01.example.com
Info: Certificate Request fingerprint (SHA256): 91:63:17:B5:14:60:6F:87:8D:B9:30:4B:A8:8F:F3:CB:6C:2A:C3:EB:2D:A6:03:CA:50:1B:4B:F8:21:9E:2D:14
Info: Caching certificate for glusterfs01.example.com
Info: Caching certificate_revocation_list for ca
Info: Caching certificate for ca
Info: Retrieving pluginfacts
Info: Retrieving plugin
Info: Caching catalog for glusterfs01.example.com
Info: Applying configuration version '1448604266'
Notice: Finished catalog run in 0.01 seconds
# Master端查看,已经自动认证注册成功
[root@puppet-master ~]# puppet cert list glusterfs01.example.com
+ "glusterfs01.example.com" (SHA256) F5:A7:8F:2B:1C:D7:46:4C:C5:89:4D:4E:98:B6:3C:AF:43:FC:F6:80:A8:86:1B:2C:3F:9D:6A:DC:FB:29:97:5D