puppet证书验证

最新推荐文章于 2021-05-04 18:33:27 发布
最新推荐文章于 2021-05-04 18:33:27 发布
阅读量1.1k 收藏 1
点赞数 1

一、关于证书在master的认识

我们知道puppet为了安全,采用ssl隧道通信,因此需要申请证书来验证的,当puppet master第一次启动的时候,可以查看/var/log/message有类似如下的信息:

Jul 25 03:14:01localhost puppet-master[25011]: Signed certificate request for ca

Jul 25 03:14:01localhost puppet-master[25011]: Rebuilding inventory file

Jul 25 03:14:01localhost puppet-master[25011]: puppet.zhang.com has a waiting certificaterequest

Jul 25 03:14:01localhost puppet-master[25011]: Signed certificate request for puppet.zhang.com

Jul 25 03:14:01localhost puppet-master[25011]: Removing file Puppet::SSL::CertificateRequestpuppet.zhang.com at '/etc/puppet/ssl/ca/requests/puppet.zhang.com.pem'

Jul 25 03:14:01localhost puppet-master[25011]: Removing file Puppet::SSL::CertificateRequestpuppet.zhang.com at '/etc/puppet/ssl/certificate_requests/puppet.zhang.com.pem'

从日志中我们可以看出第一次启动的时候,puppet master创建本地认证中心,给自己签发证书和key,你可以在/etc/puppet/ssl看到那些证书和key。这个目录和/etc/puppet/puppet.conf文件中配置的ssldir路径有关系。

ll/etc/puppet/ssl/   ssl目录的内容如下:

drwxrwx--- 5 puppetpuppet 4096 Jul 25 03:01 ca

drwxr-xr-x 2 puppetroot   4096 Jul 25 03:01certificate_requests

drwxr-xr-x 2 puppetroot   4096 Jul 25 03:01 certs

-rw-r--r-- 1 puppetpuppet  398 Jul 25 03:01 crl.pem

drwxr-x--- 2 puppetroot   4096 Jul 25 03:01 private

drwxr-x--- 2 puppetroot   4096 Jul 25 03:01 private_keys

drwxr-xr-x 2 puppetroot   4096 Jul 25 03:01 public_keys

二、关于证书在agent的认识

puppet agent在第一次连接master的时候会向master申请证书,如果没有master没有签发证书,那么puppet agent和master的连接是否建立成功的,agent会持续等待master签发证书,并会每隔2分钟去检查master是否签发证书。

通过puppet agent--server= puppet.zhang.com --no-daemonize –verbose启动的时候能很清楚的查看到agent申请证书的过程

puppet agent --server=puppet.zhang.com --no-daemonize --verbose

info: Creating a newSSL key for node1.zhang.com

info: Cachingcertificate for ca

#申请证书

info: Creating a newSSL certificate request for node1.zhang.com

info: CertificateRequest fingerprint (md5): 54:11:FB:75:87:94:AF:6B:D1:6B:AD:6B:44:3E:74:A0

#等待证书签发

warning: peercertificate won't be verified in this SSL session

#2分钟检查一次,如果没有签发就显示如下信息

notice: Did notreceive certificate

#证书签发成功后,顺利建立连接

info: Cachingcertificate for node1.zhang.com

notice: StartingPuppet client version 2.6.16

info: Cachingcertificate_revocation_list for ca

info: Cachingcatalog for node1.zhang.com

info: Applyingconfiguration version '1344943902'

notice: Finishedcatalog run in 0.11 seconds

类似于上面的就是去申请证书了。当master签发证书以后就可以顺利建立连接了。

三、Master端证书的管理

1.在master上查看申请证书请求

puppet cert --list

2.签发证书

puppet cert --sign node1.zhang.com

如果一次性签发所有的证书,采用如下命令:

puppet cert sign –-all

也可以设置自动签发证书。

3.让证书过期

puppet cert -revoke puppet-test

删除证书

puppet cert --clean puppet-test

证书签名的过期或删除需要重启puppetmaster服务。

4.可以通过/etc/puppet/auth.conf文件配置签名的ACL列表。

四、Agent端证书的管理

1.删除已有的证书

清空/etc/puppet/ssl(这个目录和你的/etc/puppet/puppet.conf文件中配置的ssldir路径有关系)下的文件和目录

2.重启申请证书

puppet agent --server puppet.zhang.com --test

在客户端与服务端签名不能正常进行的时候,请删除后重新签名

rhen-hern
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
puppet-icinga2:用于管理Icinga 2的Puppet模块
02-04
Icinga 2人偶模块 目录 总览 Icinga 2是一种广泛使用的开源... 从Icinga v2.12.0开始,用于验证证书的指纹为sha256,而不是sha1。 两者均受支持。 模块说明 此模块在Linux或Windows主机上安装和配置Icinga 2。 默认
puppet-dirsync:将来自 puppet 的目录与 git 同步
06-29
带有客户端证书身份验证的只读 git repo 的 Apache 配置 Listen 443 DocumentRoot /path/to/puppet_repo Options FollowSymLinks AllowOverride None Options Indexes FollowSymLinks MultiViews
linux 统一部署工具,详解Linux下自动化部署工具Puppet 的注册方式与常用命令
weixin_39939601的博客
05-04 274
三种注册方式Puppet注册方式基本上有三种:手动注册,自动注册和预签名注册1.手动注册手动注册是由Agent端先发起证书申请请求,然后由Puppet server端确认证书方可注册成功,这种注册方式安全系数中等,逐一注册(puppet cert --sign certname)在节点数量较大的情况下是比较麻烦的,效率也低,批量注册(puppet cert --sign --all)效率很高,一次...
puppet学习之puppet证书验证
天涯的浪子
11-06 932
一、关于证书在master的认识 我们知道puppet为了安全,采用ssl隧道通信,因此需要申请证书验证的,当puppet master第一次启动的时候,可以查看/var/log/message有类似如下的信息: Jul 25 03:14:01 localhost puppet-master[25011]: Signed certificate request for ca J...
puppet三种认证注册方式详解及常见报错分析
weixin_34259232的博客
02-23 480
本文主要介绍puppet的三种认证方式:自动注册、手动注册和预签名注册;master和agent的认证关系,是随着认证的复杂程度提升,安全性也会随之提高,下面就是每一种方式的示例解读。一 手动注册手动注册是由Agent端先发起证书申请请求,然后由Puppetserver端确认证书方可注册成功,这种注册方式安全系数中等,逐一注册(puppet cert --si...
puppet yum安装配置,简单证书维护
weixin_34380781的博客
06-07 157
Puppet学习之puppet的安装和配置 一、Puppet简介 Puppet基于ruby语言开发的自动化系统配置工具,可以C/S模式或独立运行,支持对所有UNIX及类UNIX系统的配置管理,最新版本也开始支持对Windows操作系统有限的一些管理。Puppet适用于服务器管的整个过程 ,比如初始安装、配置更新以及系统下线。 二、Puppet的安装 Puppet的安装方式支持源码安装、yu...
Puppet安装:证书申请与签发
06-15 435
转自:http://ywzhou.blog.51cto.com/2785388/1576163/
PSigner:一个简单的Sinatra应用程序,用于通过API签署Puppet证书请求
02-14
注意:您也可以直接通过Puppet API进行此操作,但这需要SSL身份验证。 这不太安全,但可能会更简单。 签署新证书 通过传递要签名的certname和共享密钥作为secret参数的值,它允许通过API调用对Puppet客户端证书进行...
puppet_certificate.pdf
10-30
### Puppet证书管理与Puppet CA详解 #### 概览 Puppet作为一个强大的配置管理工具,其安全性机制之一依赖于公钥基础设施(Public Key Infrastructure,简称PKI)。在Puppet环境中,Puppet AgentPuppet Master...
puppet 颁发证书
weixin_33713503的博客
10-30 245
转载:http://blog.51cto.com/ywzhou/15761631、客户端申请证书 [root@zabbix ~]# puppet agent --server puppet.ewin.com --test #windows系统在CMD中运行: wKiom1Rkbs-x83igAA...
puppet 配置证书
lyj1101066558的博客
05-09 1339
1.服务端查看有哪些客户端证书 # puppet cert list  (--all) "slave-puppet" (SHA256) A0:BE:9F:85:2F:67:2A:1D:94:D2:A4:4C:8F:2F:6D:2A:C4:F2:33:B4:18:66:1C:6A:D6:AC:10:92:50:4D:A2:D2 2.让客户端生成 ssl 证书(服务端运行) 生产证
puppet 签名证书
weixin_34220623的博客
08-29 104
Puppet server 和 client 安装完成,并启动后.我们就开始配置第一台agent了. 在连接到第一个agent时,使用命令行模式.而不是用service启动的模式,使用命令行模式,可以看到当agent连接到server的时候,,都发生了什么 1.首先启动puppet server [root@server~]#puppetmaster--...
puppet工作原理及部署redis主从篇
weixin_30468137的博客
06-11 249
一、简介   1、国际惯例什么是puppet     puppet是一种Linux、Unix、windows平台的集中配置管理系统,使用自有的puppet描述语言,可管理配置文件、用户、cron任务、软件包、系统服务等。puppet把这些系统实体称之为资源,puppet的设计目标是简化对这些资源的管理以及妥善处理资源间的依赖关系。     puppet采用C/S星状的结构,所有的客户端和一个...
puppet 安装配置
uniooo的专栏
07-28 673
puppet 安装配置 一、安装 安装 CentOS 6.5 安装ruby(rdoc文档): yum install ruby rdoc 添加源: rpm -ivh http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm rpm -ivh http://yum.puppe
puppet安装配置
blade2001的专栏
08-19 2278
puppet,这是目前运维主流的运维自动化工具,大多数运维管理人员都听说过,或者在使用以及在正在考虑使用中。puppet可以配合cobbler,puppet也可以配合func实现运维自动化,简单化,化繁杂为简单。 1.什么是puppet puppet是一种Linux、Unix平台的集中配置管理系统,使用ruby语言,可管理配置文件、用户、cron任务、软件包、系统服务等。pup
如何更改puppetmaster证书默认的使用期限
weixin_34370347的博客
10-21 417
零基础学习Puppet自动化配置管理系列文档PuppetMaster默认签发时间是5年,也就意味着5年后所有证书都会过期,过期意味着不可用,想想看成千上万台服务器都经过了CA的签发,到时候重新签是多么可怕的一件事情啊。那么有什么版本能将证书的过期时间延长呢?查看证书目前有效期[root@kspupt-ca1 ~]# openssl x509 -text -noout -in /var/lib/pu...
puppet常见错误总结
uevol14的博客
04-25 3599
常见问题 问题:[root@puppet ~]# puppetd --test --server puppet    dnsdomainname: Unknown host    dnsdomainname: Unknown host    err: Could not request certificate: Connection refused - connect(2)    Exi
puppet 命令详解
农民工
08-17 5925
puppet master 主要命令 --daemonize         // -D 发送到后台守护进程,默认选项 --no-daemonize   // 不发送到后台守护进程 --debug                // -d 启用完整的调整模式 --logdest               // -1日志发送方式,默认采用syslog配置 --verbose      
精通Puppet:权威指南
"Pro.Puppet 教程是针对系统管理员、实施者和系统集成者的权威指南,涵盖了Puppet配置管理工具的各个方面,旨在帮助读者最大化和定制Puppet在他们环境中的功能。本书由James Turnbull和Jeffrey McCune撰写,内容包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值