我有两个网络,在这两个网络中我都使用 Puppet 来管理配置。第二个网络是第一个网络的扩展,有它自己的 CA,我在其中使用自动签名。我那里有几个节点,我正在尝试使用第一个网络上的一些代理。显然,这个代理需要每个 CA 的有效证书。
为了从第二个网络 CA 获取证书,我在代理清单中定义了一个 exec 资源,在该清单中我使用了无效的环境。这样我就可以获得证书,但傀儡代理运行尚未完成。到目前为止一切顺利。
现在棘手的部分是我需要这些新证书来拥有一些 DNS 替代名称。据我所知,我必须在第二个网络 CA 的 puppet.conf 中添加选项 dns_alt_names,但这不是一个选项,原因有两个:
有什么替代方案/解决方案可以做到这一点吗?
当您签署证书时,Puppet 支持 dns 替代名称。这是多主机设置文档的一部分:
curl -k https://[your master]:8140/packages/current/install.bash | sudo bash -s main:dns_alt_names=<COMMA-SEPARATED LIST OF ALT NAMES FOR THE PUPPET MASTER>
从
的命令行,运行 puppet cert --allow-dns-alt-names 签署 example.master.example.com.