https://adminblog.math.fau.de/bauerm/index.index/2017/09/14/bauerm/2017/09/14/index.rss/bauerm/index.index/bauerm/2017/09/14 Meldungen des Rechenzentrums in der Cauerstrasse 11 de http://blogs.law.harvard.edu/tech/rss blosxom/2.1.2 Thu, 14 Sep 2017 00:00:00 +0200 https://adminblog.math.fau.de/bauerm/index.index/2017/09/14/bauerm/2017/09/14/index.rss/2017/09/14#ThursdaySeptember14201711:50:05 /bauerm https://adminblog.math.fau.de/bauerm/index.index/2017/09/14/bauerm/2017/09/14/index.rss/bauerm/ThursdaySeptember14201711:50:05 <pre> Problem mit Puppet+Autoinstaller: wenn eine Maschine zum ersten Mal hochfaehrt, kennt der puppet master sie nicht; man muss manuell den Zertifikatsantrag, den der agent schickt, signieren lassen. Wenn man die autosign Option benutzt, signiert man unbesehen automatisch jedes Zert, das uebers Netz kommt, also besser nicht. Aaaaber: wir installieren uebers Netz, warum also nicht die Keys und ein signiertes Zert gleich mit installieren? Auf den ersten Blick deswegen, weil puppet keinerlei Unterstuetzung fuers signieren von Keys-in-Files anbietet. L&ouml;sung: ein Skript, das im Dateibaum des autoinstallers an passender Stelle das Keymaterial erzeugt, daraus CSRs baut und mit dem ca-Key vom puppet master unterschreibt, mit den passenden Extensions: nsComment = "Puppet Ruby/OpenSSL Internal Certificate" basicConstraints = CA:FALSE subjectKeyIdentifier = hash keyUsage = digitalSignature, keyEncipherment Die Keys+Zerts werden dann vom Installer auf die Maschinen kopiert. Bleibt noch das Problem, dass Puppet seinen eigenen Zerts nicht glaubt: Wenn schon ein Zert existiert, dann wird das neue ignoriert. Also vor der Installation auf dem master mit puppet cert clean $diemaschinedieinstalliertwerdensoll das alte Zert loeschen. </pre>