傀儡数据库中的SSL问题

Question

我正在使用SSL设置Puppetdb，并且存在证书问题。

我使用Nginx作为Puppet的SSL代理，因此我的CA由Nginx代理机器上的mongrel服务器管理。

如果我使用Nginx机器上的CA为我的Puppetdb生成一个证书，我就能够使用puppetlabs-puppetdb模块设置Puppetdb (因为木偶代理使用代理的CA)，但是Puppetmaster无法连接到它，因为它有自己的CA证书来生成自己。

如果我使用一个傀儡主程序为Puppetdb生成证书，则无法使用puppetlabs-puppetdb模块部署Puppetdb，因为Puppet代理不使用相同的CA证书。

我能做些什么来调和这一切？我能否完全关闭傀儡主程序上的SSL (因为SSL由Nginx代理管理)，并让它们使用代理的CA连接到Puppetdb？

Answer 1

我对我的傀儡大师使用了错误的设置，即让他们在一个单独的目录中创建自己的CA。这个链接把它弄清楚了。我现在：

• 在代理和主模式下使用相同的目录(在我的例子中，是标准的/var/lib/puppet/ssl目录)。这确保了它对两种模式都使用相同的CA；
• 在木偶主上使用ca=false (master部分)，这样木偶主人就不会抱怨使用其他CA而不是自己的CA；
• 停止为傀儡主人指定certname=，让他们使用机器的名称，就像在代理模式下那样。