Jeśli używasz infrastruktury Puppet od kilku lat, prawdopodobnie zbliża się czas wygaśnięcia twojego certyfikatu CA. Puppet bazuje na wewnętrznym PKI do uwierzytelniania oraz bezpiecznej komunikacji i kiedy certyfikat CA wygaśnie, cały system po prostu się zatrzyma. Domyślnie, Puppet generuje certyfikaty, których czas życia wynosi 5 lat, więc warto wcześniej pomyśleć o ich odświeżeniu. Przegenerowanie wszystkich certyfikatów to masa pracy i nieunikniony downtime. Na szczęście mamy lepsze rozwiązanie…
Tak swój moduł puppetlabs-certregen zareklamował dzisiaj na grupie puppet-announce Adrien Thebo. Jest to oficjalny projekt firmy Puppet. Zachęcamy do zapoznania się z jego możliwościami, m.in.:
Moduł certregen pozwala w łatwy sposób przegenerować i rozdystrybuować certyfikaty CA w trybie „zero downtime”. Kiedy regenerujesz CA za pomocą tego modułu zostanie ponownie użyta twoja istniejąca para kluczy CA. Nowe CA będzie praktycznie identyczne jak stare i utrzyma ważność wszystkich innych certyfikatów, które zostały podpisane przez stare CA, a więc możesz podmienić samo CA bezprzerwowo.
Autor dziękuje zespołowi Puppet Customer Success i Zackowi Smithowi za testy i udokumentowanie procesu migracji, który wspiera ww. moduł.
CHANGELOG można znaleźć pod adresem: https://github.com/puppetlabs/puppetlabs-certregen/blob/master/CHANGELOG.md
Moduł w repozytorium Puppet Forge znajduje się tutaj: https://forge.puppet.com/puppetlabs/certregen
Instrukcja instalacji i użycia znajduje się tutaj: https://github.com/puppetlabs/puppetlabs-certregen/blob/master/README.markdown
Jira jest używana do śledzenia błędów i zmian w tym projekcie: https://tickets.puppetlabs.com/