https://adminblog.math.fau.de/2017/07/18/index.rss/ Meldungen des Rechenzentrums in der Cauerstrasse 11 de http://blogs.law.harvard.edu/tech/rss blosxom/2.1.2 Tue, 18 Jul 2017 00:00:00 +0200 https://adminblog.math.fau.de/2017/07/18/index.rss/2017/07/18#TuesdayJuly18201715:09:15 /bauerm https://adminblog.math.fau.de/2017/07/18/index.rss/bauerm/TuesdayJuly18201715:09:15 <pre> Faszination Technik! Puppet Master hat ein Zertifikat (self-signed), das bald am versterben ist. Es gibt keine Technik fuer eine Key-Rollover. Also die alten openssl {x509,req,..} skillz ausgepackt und ihm mit dem gleichen Key ein neues Zert fuer die naechsten Jahre gemacht. Getestet, ob die Signaturen tatsaechlich noch stimmen, etc. Ok, wie kriegt man das neue Zert auf alle clients? Wenn man auf puppet, Version > 3.6, das Zertifikat der CA auf dem client loescht, holt sich der agent das einfach vom Server. Signature kann er nicht checken, aber das ist halt so eine Henne-Ei Problem. Wenn man das ganze auf einem puppet mit kleinerer Version macht, dann laeuft man in den Originellen Fehler, dass er das Zert holen will, den Download aber zertifiziert haben will, und deswegen das Zert holen will,... Stack overrun. </pre>