Utilisation d'une autre autorité de certification (comme Microsoft Certificate Services) avec Puppet

10

J'examine si je peux en quelque sorte faire en sorte que l'écosystème de marionnettes utilise notre autorité de certification Microsoft Enterprise existante plutôt que d'être sa propre autorité de certification.

Puisque la marionnette prétend que tout le système est "SSL standard", je suppose qu'il est tout à fait possible de le faire sans changer beaucoup de marionnette, CEPENDANT, il s'agit probablement d'un énorme mal de tête manuel à moins que la marionnette ne soit éditée pour effectuer les appels appropriés à l'entreprise. CALIFORNIE.

Quelqu'un a-t-il déjà essayé cela? Est-ce un "voici des dragons, détourne-toi!" situation?

ssl-certificate puppet certificate-authority Peter Grace
la source
3
Je ne l'ai pas fait auparavant, mais la façon dont j'aborderais ce serait de créer un certificat CA subordonné d'AD et de préremplir les répertoires SSL puppetmaster avec ces fichiers. Et l'espoir.
sysadmin1138
Comment vous attendez-vous à ce que les certificats soient délivrés? Vous attendez-vous à ce que le client fantoche les demande d'une manière ou d'une autre?
Zoredache

Réponses:

2

Le comportement de validation et de hiérarchie des certificats dans les marionnettes est en effet SSL standard, mais c'est une sorte d'implémentation partielle des normes - il existe une demande de fonctionnalité de longue date pour améliorer sa prise en charge pour les déploiements plus compliqués .

Si l'objectif est de faire en sorte que la délivrance et l'approbation des certificats soient transférées vers le système AD Certificate Services (et de ne puppet cert signplus jamais taper ), alors vous n'avez probablement pas de chance sans travail de développement logiciel.

Le client utilise la propre API REST de Puppet pour gérer les demandes de certificats, récupérer les certificats signés, l'accès AIA et CRL, etc. vous devez implémenter de la colle entre ces appels d'API et les points d'accès RPC des services de certificats AD.

Mais, si vous cherchez simplement à ce que vos certificats Puppet soient dans la chaîne de confiance sous votre racine AD CS, la recommandation de sysadmin1138 devrait fonctionner à merveille (même si je ne l'ai pas non plus testée - je trouverai du temps pour le faire et mettre à jour tu).

Les clients Puppet traiteront l'AC Puppet intermédiaire comme s'il s'agissait d'une autorité de certification racine (ce qui produirait une validation de travail sans qu'ils aient besoin de connaître la racine), tout en étant des descendants valides de l'autorité de certification racine réelle.

Shane Madden
la source