Puppet - SSL 证书设置

当 Puppet 代理软件在任何 Puppet 节点上第一次运行时，它会生成一个证书并将证书签名请求发送到 Puppet 主服务器。在 Puppet 服务器能够通信和控制代理节点之前，它必须签署该特定代理节点的证书。在以下部分中，我们将描述如何签署和检查签名请求。

列出当前证书请求

在 Puppet 主服务器上，运行以下命令查看所有未签名的证书请求。

$ sudo /opt/puppetlabs/bin/puppet cert list

因为我们刚刚设置了一个新的代理节点，我们将看到一个待批准的请求。以下是**输出**。

"Brcleprod004.brcl.com" (SHA259) 
15:90:C2:FB:ED:69:A4:F7:B1:87:0B:BF:F7:ll:
B5:1C:33:F7:76:67:F3:F6:45:AE:07:4B:F 6:E3:ss:04:11:8d 

它开头没有 +（加号），表示证书尚未签名。

签署请求

为了签署在 Puppet 代理在新节点上运行时生成的新的证书请求，将使用 Puppet cert sign 命令，以及由需要签署的新配置节点生成的证书的主机名。由于我们有 Brcleprod004.brcl.com 的证书，我们将使用以下命令。

$ sudo /opt/puppetlabs/bin/puppet cert sign Brcleprod004.brcl.com 

以下是**输出**。

Notice: Signed certificate request for Brcle004.brcl.com 
Notice: Removing file Puppet::SSL::CertificateRequest Brcle004.brcl.com at 
'/etc/puppetlabs/puppet/ssl/ca/requests/Brcle004.brcl.com.pem' 

Puppet 服务器现在可以与签署证书的节点通信。

$ sudo /opt/puppetlabs/bin/puppet cert sign --all 

从 Puppet 设置中吊销主机

在需要从设置中移除主机并重新添加它时，内核重建的配置有一些条件。这些是 Puppet 本身无法管理的条件。可以使用以下命令完成。

$ sudo /opt/puppetlabs/bin/puppet cert clean hostname 

查看所有已签署的请求

以下命令将生成已签署证书的列表，其中包含 +（加号），表示请求已批准。

$ sudo /opt/puppetlabs/bin/puppet cert list --all

以下是其**输出**。

+ "puppet" (SHA256) 5A:71:E6:06:D8:0F:44:4D:70:F0:
BE:51:72:15:97:68:D9:67:16:41:B0:38:9A:F2:B2:6C:B 
B:33:7E:0F:D4:53 (alt names: "DNS:puppet", "DNS:Brcle004.nyc3.example.com")  

+ "Brcle004.brcl.com" (SHA259) F5:DC:68:24:63:E6:F1:9E:C5:FE:F5:
1A:90:93:DF:19:F2:28:8B:D7:BD:D2:6A:83:07:BA:F E:24:11:24:54:6A 

+ " Brcle004.brcl.com" (SHA259) CB:CB:CA:48:E0:DF:06:6A:7D:75:E6:CB:22:BE:35:5A:9A:B3 

完成上述操作后，我们的基础设施已准备就绪，Puppet 主服务器现在能够管理新添加的节点。