主厨引导厨师-服务器，部署我自己的validation.pem和webui.pem

Question

我有现有的验证和webui私钥，我希望在新的厨师服务器部署中使用它们。我的引导模板的一部分将这些密钥复制到/etc/厨师/。当主厨-索罗运行并启动厨师-服务器时，我如何防止它覆盖/etc/厨师/验证。

或者，是否有一个进程可以用我手头的另一对密钥替换validation.pem和webui.pem？我所能找到的只是关于让服务器重新生成它们的说明。

Answer 1

validation.pem是厨师服务器中名为厨师验证器的特殊客户端的私钥。而webui.pem是主厨客户端webui的私钥。

您可以通过刀API或厨师服务器web重新生成任何客户端的私钥/公钥。

就我个人而言，我不建议“替换”私钥，而是重新生成它，因为这是敏感的数据，您最好在很长时间内不要继续使用特殊的密钥。相反，为了安全起见，请在一定时间内重新生成它们。

但是，可以攻击主厨11服务器主机的/var/opt/chef-server/bookshelf/data下的书架数据存储，以更改存储在对象文件中的公钥。例如，您可以在执行命令knife client show chef-validator -VV时提取对象URL。我强烈建议这样做，因为这是黑客行为。