2015-10-17 4 views
6

Bei der Erstkonfiguration des Puppet-Agenten erhält der Agent ein Sicherheitszertifikat, das von einer vom Master erkannten Instanz signiert ist - meist der Master selbst - mit der es sich anschließend gegenüber dem Master identifiziert. Läuft dieses Zertifikat jemals ab oder benötigt es ein Update?Wird das Puppet Master-Client-Zertifikat jemals ablaufen?

Antwort

5

Ja, alle von der Puppet-Zertifizierungsstelle signierten Zertifikate haben ein Ablaufdatum, einschließlich der Agentenzertifikate, des Master-Zertifikats und des eigenen selbstsignierten Zertifikats der Zertifizierungsstelle, wenn es tatsächlich solche Zertifikate verwendet. Der Ablaufzeitstempel wird durch Hinzufügen eines festen Offsets (durch die Konfigurationseinstellung ca_ttl festgelegt) zum Datum & Zeitpunkt, zu dem das Zertifikat signiert wird, festgelegt. Das Standardttl beträgt fünf Jahre, was lange genug ist, um die gesamte Lebensdauer aller Maschinen in vielen Organisationen abzudecken.

Problematischer als das Auslaufen eines Agent-Zertifikats ist der Ablauf des CA-Zertifikats. Wenn Sie dies zulassen, ohne ein neues CA-Zertifikat zu konfigurieren, werden Master und Knoten anschließend gegenseitig die Zertifikate zurückweisen, sodass Sie manuell konfigurieren müssen, um neue Zertifikate für alle zu konfigurieren.

+0

Und wie lange dauert das CA-Zertifikat? oder sind es auch 5 Jahre? – James

+0

Die Puppet-CA berechnet den Cert-Ablauf für alle Zertifikate, einschließlich der eigenen. Ja, mit den Standardeinstellungen dauert das selbstsignierte CA-Zertifikat der CA 5 Jahre. –

+0

Vielen Dank dafür. – James