systemadmin.es > Gestión de cofiguración > Firmar certificados de cliente en puppet

Firmar certificados de cliente en puppet

Al intentar añadir un nuevo nodo a un servidor puppet primero deberemos firmar el certificado para poder verificar que es quien dice ser:

# puppet agent --server=inf1159.cepca.cat --no-daemonize --verbose --onetime
info: Caching certificate for ca
info: Creating a new SSL certificate request for inf1180
info: Certificate Request fingerprint (SHA256): A3:CD:3E:92:B8:4A:0F:D7:3B:3F:72:75:46:76:87:94:69:20:08:01:7D:99:B1:DA:E0:28:F1:85:E0:F8:8D:87
Exiting; no certificate found and waitforcert is disabled

Para ello, una vez ejecutado por primera vez el puppet en el cliente, éste generará un certificado que el servidor deberá firmar. Deberemos ir al puppetmaster y listar los certificados pendientes de validación mediante:

# puppet cert --list
  "inf1180" (SHA256) A3:CD:3E:92:B8:4A:0F:D7:3B:3F:72:75:46:76:87:94:69:20:08:01:7D:99:B1:DA:E0:28:F1:85:E0:F8:8D:87

Una vez verificado el fingerprint, deberemos firmarlo mediante la opción –sign:

# puppet cert --sign inf1180
Notice: Signed certificate request for inf0301180
Notice: Removing file Puppet::SSL::CertificateRequest inf0301180 at '/var/lib/puppet/ssl/ca/requests/inf1180.pem'

Por lo que si volvemos a ejecutar el puppet en el cliente, veremos que esta vez sí que se aplica la configuración que tengamos definida en el servidor:

# puppet agent --server=inf1159.cepca.cat --no-daemonize --verbose --onetime
info: Caching catalog for inf1180
info: Applying configuration version '1426182361'
notice: /Stage[main]/Nis/Group[cepca]/ensure: created
notice: /Stage[main]/Nis/User[jprats]/ensure: created
info: FileBucket adding {md5}49b648101b0e361231a977aa89e0dd60
info: /File[/etc/postfix/main.cf]: Filebucketed /etc/postfix/main.cf to puppet with sum 49b648101b0e361231a977aa89e0dd60
notice: /File[/etc/postfix/main.cf]/content: content changed '{md5}49b648101b0e361231a977aa89e0dd60' to '{md5}eee859dc5376f0c4ee5c6099fedacf8a'
info: /File[/etc/postfix/main.cf]: Scheduling refresh of Service[postfix]
notice: /Stage[main]/Postfixrelay/Service[postfix]: Triggered 'refresh' from 1 events
info: Creating state file /var/lib/puppet/state/state.yaml
notice: Finished catalog run in 0.71 seconds

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>