tôi đang cố gắng con rối quy mô, để có dự phòng, sử dụng DNS vòng tròn. thứ cấp con rối (phiên bản 7.4.0) được định cấu hình để sử dụng quyền CA từ chính con rối:
/etc/puppetlabs/puppet/puppet.conf:
[chủ yếu]
ca_name = Con rối CA: con rối-ca-master.company.com
ca_server = con rối-ca-master.company.com
[đại lý]
máy chủ = con rối-ca-master.company.com
runinterval=1800
Trên máy chủ thứ cấp, tôi đã tắt dịch vụ CA, vì chỉ có thể có một cơ quan cấp chứng chỉ duy nhất trong /etc/puppetlabs/puppetserver/services.d/ca.cfg:
# Để kích hoạt dịch vụ CA, hãy bỏ ghi chú dòng sau
# con rốilabs.services.ca.certificate-authority-service/certificate-authority-service
# Để tắt dịch vụ CA, hãy ghi chú dòng trên và bỏ ghi chú dòng bên dưới
con rốilabs.services.ca.certificate-authority-disabled-service/certificate-authority-disabled-service
con rốilabs.trapperkeeper.services.watcher.filesystem-watch-service/filesystem-watch-service
Tôi đã xóa chứng chỉ khỏi chứng chỉ phụ, để tìm nạp chứng chỉ đã ký chứng chỉ từ chủ CA:
rm -rf /etc/puppetlabs/puppet/ssl && mkdir -p /etc/puppetlabs/puppet/ssl/certs
chmod 0700/etc/puppetlabs/con rối/ssl
chown -R con rối /etc/puppetlabs/puppet/ssl
Tuy nhiên các con rối dịch vụ từ chối bắt đầu vì thiếu chứng chỉ:
2021-09-30T09:06:18.220+02:00 LỖI [async-dispatch-2] [p.t.internal] Lỗi khi bắt đầu dịch vụ!!!
java.lang.IllegalArgumentException: Không thể mở tệp 'ssl-cert': /etc/puppetlabs/puppet/ssl/certs/secondary-puppetserver.company.com.pem
Khi tôi cố chạy đại lý bù nhìn -t trên máy chủ con rối thứ cấp, nó không ký được chứng chỉ:
Không thể tìm nạp chứng chỉ từ máy chủ CA; bạn vẫn có thể cần ký chứng chỉ của đại lý này (secondary-puppetserver.company.com)
Ngoài ra, khóa riêng được tạo, nhưng không phải là khóa công khai:
sẽ là /etc/puppetlabs/puppet/ssl/public_keys/
tổng số 0
