2015-10-17 20 views
6

Durante la configurazione iniziale dell'agente Puppet, l'agente ottiene un certificato di sicurezza firmato da un'autorità riconosciuta dal master, il più delle volte il master stesso, con il quale si identificherà successivamente con il master. Questo certificato scade o richiede un aggiornamento?Il certificato Puppet Master-Client è scaduto?

risposta

5

Sì, tutti i certificati firmati dalla CA Puppet hanno una data di scadenza, inclusi i certificati degli agenti, il certificato del master e il certificato autofirmato della CA stessa se in realtà lo utilizza. La data/ora di scadenza viene impostata aggiungendo un offset fisso (specificato dall'impostazione di configurazione ca_ttl) alla data & in cui il certificato è firmato. Il valore predefinito ttl è di cinque anni, che è abbastanza lungo da coprire l'intera durata di servizio di tutte le macchine in molte organizzazioni.

Più problematico del certificato di un agente in scadenza è il certificato CA in scadenza. Se si lascia che ciò avvenga senza la configurazione di un nuovo certificato CA, i master e i nodi successivamente rifiutano i certificati reciproci, forzando l'utente a manualmente configura nuovi certificati per tutti.

+0

E quanto tempo dura la CA? o è anche 5 anni? – James

+0

La Puppet CA calcola la scadenza della cert allo stesso modo per tutti i certificati, incluso il proprio. Quindi sì, con le impostazioni predefinite, il certificato CA autofirmato della CA dura 5 anni. –

+0

Grazie per questo. – James