Aus der Tiefe

	Problem mit Puppet+Autoinstaller: wenn eine Maschine zum ersten Mal hochfaehrt, kennt der puppet master
	  sie nicht; man muss manuell den Zertifikatsantrag, den der agent schickt, signieren lassen. Wenn man
	  die autosign Option benutzt, signiert man unbesehen automatisch jedes Zert, das uebers Netz kommt, also
	  besser nicht. Aaaaber: wir installieren uebers Netz, warum also nicht die Keys und ein signiertes Zert
	  gleich mit installieren? Auf den ersten Blick deswegen, weil puppet keinerlei Unterstuetzung fuers
	  signieren von Keys-in-Files anbietet.
	Lösung: ein Skript, das im Dateibaum des autoinstallers an passender Stelle das Keymaterial erzeugt,
	  daraus CSRs baut und mit dem ca-Key vom puppet master unterschreibt, mit den passenden Extensions:
		  nsComment            = "Puppet Ruby/OpenSSL Internal Certificate"
		  basicConstraints     = CA:FALSE
		  subjectKeyIdentifier = hash
		  keyUsage             = digitalSignature, keyEncipherment
	  Die Keys+Zerts werden dann vom Installer auf die Maschinen kopiert.
	Bleibt noch das Problem, dass Puppet seinen eigenen Zerts nicht glaubt: Wenn schon ein Zert existiert, dann
	  wird das neue ignoriert. Also vor der Installation auf dem master mit 
	    puppet cert clean $diemaschinedieinstalliertwerdensoll
	  das alte Zert loeschen.

[/bauerm] permanent link

Aus der Tiefe

	About Aus der Tiefe, Meldungen des Rechenzentrums in der Cauerstrasse 11 Matthias Bauer und Martin Bayer problems@math.fau.de Subscribe Subscribe to a syndicated feed of my weblog, brought to you by the wonders of RSS. Flavours There's more than one way to view this weblog; try these flavours on for size. index circa 1993 RSS Links Shoestring FoundationMiscellaneous byproducts	Thu, 14 Sep 2017 Problem mit Puppet+Autoinstaller: wenn eine Maschine zum ersten Mal hochfaehrt, kennt der puppet master sie nicht; man muss manuell den Zertifikatsantrag, den der agent schickt, signieren lassen. Wenn man die autosign Option benutzt, signiert man unbesehen automatisch jedes Zert, das uebers Netz kommt, also besser nicht. Aaaaber: wir installieren uebers Netz, warum also nicht die Keys und ein signiertes Zert gleich mit installieren? Auf den ersten Blick deswegen, weil puppet keinerlei Unterstuetzung fuers signieren von Keys-in-Files anbietet. Lösung: ein Skript, das im Dateibaum des autoinstallers an passender Stelle das Keymaterial erzeugt, daraus CSRs baut und mit dem ca-Key vom puppet master unterschreibt, mit den passenden Extensions: nsComment = "Puppet Ruby/OpenSSL Internal Certificate" basicConstraints = CA:FALSE subjectKeyIdentifier = hash keyUsage = digitalSignature, keyEncipherment Die Keys+Zerts werden dann vom Installer auf die Maschinen kopiert. Bleibt noch das Problem, dass Puppet seinen eigenen Zerts nicht glaubt: Wenn schon ein Zert existiert, dann wird das neue ignoriert. Also vor der Installation auf dem master mit puppet cert clean $diemaschinedieinstalliertwerdensoll das alte Zert loeschen. [/bauerm] permanent link