puppet学习之puppet证书验证

时间 2021-02-14

标签 node 安全 session ide this spa 日志 server md5 栏目系统安全繁體版

原文原文链接

1、关于证书在master的认识node

咱们知道puppet为了安全，采用ssl隧道通讯，所以须要申请证书来验证的，当puppet master第一次启动的时候，能够查看/var/log/message有相似以下的信息：安全

Jul 25 03:14:01 localhost puppet-master[25011]: Signed certificaterequest for casession

Jul 25 03:14:01 localhost puppet-master[25011]: Rebuilding inventoryfileide

Jul 25 03:14:01 localhost puppet-master[25011]: puppet.zhang.com hasa waiting certificate requestui

Jul 25 03:14:01 localhost puppet-master[25011]: Signed certificaterequest for puppet.zhang.comthis

Jul 25 03:14:01 localhost puppet-master[25011]: Removing filePuppet::SSL::CertificateRequest puppet.zhang.com at'/etc/puppet/ssl/ca/requests/puppet.zhang.com.pem'spa

Jul 25 03:14:01 localhost puppet-master[25011]: Removing filePuppet::SSL::CertificateRequest puppet.zhang.com at'/etc/puppet/ssl/certificate_requests/puppet.zhang.com.pem'日志

从日志中咱们能够看出第一次启动的时候，puppet master建立本地认证中心，给本身签发证书和key，你能够在/etc/puppet/ssl看到那些证书和key。这个目录和/etc/puppet/puppet.conf文件中配置的ssldir路径有关系。server

ll /etc/puppet/ssl/ssl目录的内容以下：md5

drwxrwx--- 5 puppet puppet 4096 Jul 25 03:01 ca

drwxr-xr-x 2 puppet root4096 Jul 25 03:01 certificate_requests

drwxr-xr-x 2 puppet root4096 Jul 25 03:01 certs

-rw-r--r-- 1 puppet puppet398 Jul 25 03:01 crl.pem

drwxr-x--- 2 puppet root4096 Jul 25 03:01 private

drwxr-x--- 2 puppet root4096 Jul 25 03:01 private_keys

drwxr-xr-x 2 puppet root4096 Jul 25 03:01 public_keys

2、关于证书在agent的认识

puppet agent在第一次链接master的时候会向master申请证书，若是没有master没有签发证书，那么puppetagent和master的链接是否创建成功的，agent会持续等待master签发证书，并会每隔2分钟去检查master是否签发证书。

经过puppet agent --server= puppet.zhang.com --no-daemonize –verbose启动的时候能很清楚的查看到agent申请证书的过程

puppet agent --server=puppet.zhang.com --no-daemonize --verbose

info: Creating a new SSL key for node1.zhang.com

info: Caching certificate for ca

#申请证书

info: Creating a new SSL certificate request for node1.zhang.com

info: Certificate Request fingerprint (md5):54:11:FB:75:87:94:AF:6B:D1:6B:AD:6B:44:3E:74:A0

#等待证书签发

warning: peer certificate won't be verified in this SSL session

#2分钟检查一次，若是没有签发就显示以下信息

notice: Did not receive certificate

#证书签发成功后，顺利创建链接

info: Caching certificate for node1.zhang.com

notice: Starting Puppet client version 2.6.16

info: Caching certificate_revocation_list for ca

info: Caching catalog for node1.zhang.com

info: Applying configuration version '1344943902'

notice: Finished catalog run in 0.11 seconds

相似于上面的就是去申请证书了。当master签发证书之后就能够顺利创建链接了。

3、Master端证书的管理

1.在master上查看申请证书请求

puppet cert --list

2.签发证书

puppet cert --sign node1.zhang.com

若是一次性签发全部的证书，采用以下命令：

puppet cert --sign –all

也能够设置自动签发证书。

3.让证书过时

puppet cert -revoke puppet-test

删除证书

puppet cert --clean puppet-test

证书签名的过时或删除须要重启puppetmaster服务。

4.能够经过/etc/puppet/auth.conf文件配置签名的ACL列表。

4、Agent端证书的管理

1.删除已有的证书

清空/etc/puppet/ssl(这个目录和你的/etc/puppet/puppet.conf文件中配置的ssldir路径有关系)下的文件和目录

2.重启申请证书

puppet agent --server puppet.zhang.com--test

在客户端与服务端签名不能正常进行的时候，请删除后从新签名