การใช้ CA สำรอง (เช่น Microsoft Certificate Services) กับ Puppet

ฉันกำลังตรวจสอบว่าฉันสามารถทำให้ระบบนิเวศของหุ่นกระบอกใช้ประโยชน์จาก Microsoft Enterprise CA ที่มีอยู่ของเราแทนที่จะเป็น CA ของตัวเองหรือไม่

เนื่องจากหุ่นเชิดนั้นระบบทั้งหมดเป็น "มาตรฐาน SSL" ฉันเดาว่ามันเป็นไปได้อย่างสมบูรณ์ที่จะทำสิ่งนี้โดยไม่ต้องเปลี่ยนแปลงหุ่นมากเท่าไหร่ แต่มันก็น่าปวดหัวด้วยมือขนาดใหญ่เว้นแต่หุ่นจะถูกแก้ไขเพื่อโทรออกไปยังองค์กรที่เหมาะสม แคลิฟอร์เนีย

มีใครเคยลองวิธีนี้มาก่อนหรือไม่ มันเป็น "ที่นี่เป็นมังกรเลี้ยวไป!" สถานการณ์?

ssl-certificate puppet certificate-authority

— ปีเตอร์เกรซ
แหล่งที่มา

ฉันไม่เคยทำแบบนี้มาก่อน แต่วิธีที่ฉันจะใช้วิธีนี้คือการทำใบรับรอง CA รองจาก AD และเติมไดเรกทอรี puppetmaster SSL ล่วงหน้าด้วยไฟล์เหล่านั้น และหวังว่า

— sysadmin1138

คุณคาดหวังว่าจะมีการออกใบรับรองอย่างไร คุณคาดหวังว่าลูกค้าหุ่นกระบอกจะร้องขอสิ่งเหล่านี้ด้วยตัวเองหรือไม่?

— Zoredache

การตรวจสอบใบรับรองและพฤติกรรมลำดับชั้นในหุ่นเป็นจริงมาตรฐาน SSL แต่มันเป็นชนิดของการดำเนินงานบางส่วนของมาตรฐาน - มีคำขอคุณลักษณะยาวนานออกมีการปรับปรุงการสนับสนุนสำหรับการใช้งานที่มีความซับซ้อนมากขึ้น

หากเป้าหมายคือการออกใบรับรองและการอนุมัติย้ายไปยังระบบบริการออกใบรับรอง AD (และไม่พิมพ์puppet cert signอีกครั้ง) แสดงว่าคุณโชคไม่ดีหากไม่มีการพัฒนาซอฟต์แวร์

ลูกค้าใช้ REST API ของ Puppet เพื่อจัดการการร้องขอใบรับรองการดึงใบรับรองที่ลงชื่อการเข้าถึง AIA และ CRL เป็นต้น คุณต้องติดกาวระหว่างการเรียก API เหล่านั้นและจุดเชื่อมต่อ AD Certificate Services RPC

แต่ถ้าคุณเพียงแค่มองหาใบรับรองหุ่นกระบอกของคุณที่จะอยู่ในห่วงโซ่ความไว้วางใจภายใต้รูท AD CS ของคุณแล้วคำแนะนำของ sysadmin1138 ควรจะทำงานได้ดี (แม้ว่าฉันยังไม่ได้ทดสอบเลย - ฉันจะหาเวลาทำและอัพเดท คุณ).

ลูกค้า Puppet จะปฏิบัติต่อ Puppet CA ระดับกลางราวกับว่ามันเป็นรูต CA (ซึ่งจะให้ผลการตรวจสอบการทำงานโดยไม่จำเป็นต้องมีความรู้เกี่ยวกับรูท) ในขณะที่ยังคงเป็นลูกหลานที่แท้จริงของ CA รูทจริง

— เชนหัวเสีย
แหล่งที่มา