Puppet: Recepta na wygasający certyfikat CA - Linux Polska
Podziel się

Jeśli używasz infrastruktury Puppet od kilku lat, prawdopodobnie zbliża się czas wygaśnięcia twojego certyfikatu CA. Puppet bazuje na wewnętrznym PKI do uwierzytelniania oraz bezpiecznej komunikacji i kiedy certyfikat CA wygaśnie, cały system po prostu się zatrzyma. Domyślnie, Puppet generuje certyfikaty, których czas życia wynosi 5 lat, więc warto wcześniej pomyśleć o ich odświeżeniu. Przegenerowanie wszystkich certyfikatów to masa pracy i nieunikniony downtime. Na szczęście mamy lepsze rozwiązanie…

Tak swój moduł puppetlabs-certregen zareklamował dzisiaj na grupie puppet-announce Adrien Thebo. Jest to oficjalny projekt firmy Puppet. Zachęcamy do zapoznania się z jego możliwościami, m.in.:

Moduł certregen pozwala w łatwy sposób przegenerować i rozdystrybuować certyfikaty CA w trybie „zero downtime”. Kiedy regenerujesz CA za pomocą tego modułu zostanie ponownie użyta twoja istniejąca para kluczy CA. Nowe CA będzie praktycznie identyczne jak stare i utrzyma ważność wszystkich innych certyfikatów, które zostały podpisane przez stare CA, a więc możesz podmienić samo CA bezprzerwowo.

Autor dziękuje zespołowi Puppet Customer Success i Zackowi Smithowi za testy i udokumentowanie procesu migracji, który wspiera ww. moduł.

CHANGELOG można znaleźć pod adresem: https://github.com/puppetlabs/puppetlabs-certregen/blob/master/CHANGELOG.md
Moduł w repozytorium Puppet Forge znajduje się tutaj: https://forge.puppet.com/puppetlabs/certregen
Instrukcja instalacji i użycia znajduje się tutaj: https://github.com/puppetlabs/puppetlabs-certregen/blob/master/README.markdown
Jira jest używana do śledzenia błędów i zmian w tym projekcie: https://tickets.puppetlabs.com/

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

    Skontaktuj się z nami