Aus der Tiefe
   


About
Aus der Tiefe, Meldungen des Rechenzentrums in der Cauerstrasse 11

Matthias Bauer und Martin Bayer problems@math.fau.de

Subscribe
Subscribe to a syndicated feed of my weblog, brought to you by the wonders of RSS.

Flavours
There's more than one way to view this weblog; try these flavours on for size.

  • index
  • circa 1993
  • RSS
  • Links

  • Shoestring FoundationMiscellaneous byproducts

  •        
    Thu, 14 Sep 2017

    Thursday, September 14, 2017 11:50:05


    	Problem mit Puppet+Autoinstaller: wenn eine Maschine zum ersten Mal hochfaehrt, kennt der puppet master
    	  sie nicht; man muss manuell den Zertifikatsantrag, den der agent schickt, signieren lassen. Wenn man
    	  die autosign Option benutzt, signiert man unbesehen automatisch jedes Zert, das uebers Netz kommt, also
    	  besser nicht. Aaaaber: wir installieren uebers Netz, warum also nicht die Keys und ein signiertes Zert
    	  gleich mit installieren? Auf den ersten Blick deswegen, weil puppet keinerlei Unterstuetzung fuers
    	  signieren von Keys-in-Files anbietet.
    	Lösung: ein Skript, das im Dateibaum des autoinstallers an passender Stelle das Keymaterial erzeugt,
    	  daraus CSRs baut und mit dem ca-Key vom puppet master unterschreibt, mit den passenden Extensions:
    		  nsComment            = "Puppet Ruby/OpenSSL Internal Certificate"
    		  basicConstraints     = CA:FALSE
    		  subjectKeyIdentifier = hash
    		  keyUsage             = digitalSignature, keyEncipherment
    	  Die Keys+Zerts werden dann vom Installer auf die Maschinen kopiert.
    	Bleibt noch das Problem, dass Puppet seinen eigenen Zerts nicht glaubt: Wenn schon ein Zert existiert, dann
    	  wird das neue ignoriert. Also vor der Installation auf dem master mit 
    	    puppet cert clean $diemaschinedieinstalliertwerdensoll
    	  das alte Zert loeschen.
    
    

    [/bauerm] permanent link