Кукольный Cacert против Localcacert?

Question

Кукольный Cacert против Localcacert?

Я пытаюсь решить проблему, связанную с сертификатом с истекшим сроком действия.

Я заменил сертификат, расположенный по адресу /etc/puppetlabs/puppet/ssl/ca/ca_crt.pem (с этими инструкциями).

Затем перезапустил puppet-сервер, но агенты все еще видят истекший сертификат.

Я заметил, что есть также значение localcacert который указывает на немного другой путь etc/puppetlabs/puppet/ssl/certs/ca.pem,

Я вижу этот небольшой фрагмент документации по Puppet:

Где каждый клиент хранит сертификат CA
По умолчанию: $certdir/ca.pem

Я смущен этим. Описание делает его похожим на папку, в которой клиенты хранят сертификаты, но значение представляет собой один файл pem.

Кто-нибудь может прояснить разницу между этими двумя файлами?

Если я обновлю одну, могу ли я просто перезаписать другую своей новой pem?

1

ssl puppet ca pkix

Источник

user773263 25 янв '18 в 15:16

1 ответ

Решение

Другие вопросы по тегам ssl puppet ca pkix

user2402272 25 янв '18 в 18:21 2018-01-25 18:21 · Accepted Answer · 2018-01-25 18:21

Кто-нибудь может прояснить разницу между этими двумя файлами?

cacert настройка актуальна только для мастера. Он указывает местоположение сертификата, с которым размещенный ЦС мастера будет подписывать сообщения.

localcacert Параметр указывает расположение клиентской копии сертификата CA (содержащего открытый ключ, а не закрытый). Это то, что машины будут использовать для проверки сертификатов, подписанных ЦС.

В обоих случаях не стоит слишком много читать слово "местоположение". Эти настройки обозначают файлы сертификатов, а не каталоги.