Ich habe zwei Netzwerke und in beiden benutze ich Puppet, um die Konfiguration zu verwalten. Das zweite Netzwerk, eine Erweiterung des ersten, hat eine eigene CA, in der ich Auto-Signieren verwende. Ich habe dort mehrere Knoten und ich versuche, einige Proxies zu verwenden, die ich im ersten Netzwerk habe. Offensichtlich benötigen diese Proxies ein gültiges Zertifikat von jeder CA.DNS-alt-Namen zu Zertifikaten hinzufügen in Puppet
Um ein Zertifikat von der zweiten Netzwerk-CA zu erhalten, habe ich eine Exec-Ressource in den Proxies-Manifesten definiert, in denen ich eine ungültige Umgebung verwende. So bekomme ich das Zertifikat, aber der Marionetten-Agent-Lauf ist noch nicht abgeschlossen. So weit, ist es gut.
Der schwierige Teil ist jetzt, dass ich diese neuen Zertifikate brauche, um einige DNS-Altnamen zu haben. Soweit ich weiß, ich habe die Option dns_alt_names in der zweiten Netzwerk CA puppet.conf hinzufügen, aber dies ist keine Option, aus zwei Gründen:
- Alle Zertifikate (auch die von nicht-Proxy-Knoten) haben diese alternativen Namen.
- Alternative Namen sind standardmäßig nicht erlaubt, daher muss ich die Zertifikate manuell unter Verwendung von --allow-dns-alt-names signieren.
Irgendeine Alternative/Lösung, wie man das macht?
nicht genau Ihre Struktur verstehen, aber ich denke, Sie könnten Puppet-Master als Rails-Anwendung mit externen Webserver wie Apache oder Nginx installieren, dann versuchen, mit virtuellen Hosts mit verschiedenen Zertifikatsketten zu spielen. Um den gleichen Code auf beiden Webservern zu verwenden, kann er mit "ln -s" verlinkt werden. – raven428