Во время начальной настройки агента Puppet агент получает сертификат безопасности, подписанный авторитетом, признанным мастером - чаще всего сам мастер, с которым он впоследствии идентифицирует себя с мастером. Срок действия этого сертификата истекает или требует обновления?Срок действия сертификата Master-Client от Puppet?
Да, все сертификаты, подписанные Кукольным центром сертификации, имеют дату истечения срока действия, включая сертификаты агентов, сертификат мастера и собственный самозаверяющий сертификат CA, если на самом деле он используется. Временная метка истечения устанавливается путем добавления фиксированного смещения (заданного параметром конфигурации ca_ttl) до даты & время подписания сертификата. По умолчанию ttl составляет пять лет, что достаточно долго, чтобы покрыть весь срок службы всех машин во многих организациях.
Более проблематично, чем истекает срок действия сертификата агента, истекает срок действия сертификата CA. Если вы разрешите это сделать, не настроив новый сертификат CA, тогда мастер и узлы будут отклонять сертификаты друг друга, заставляя вас вручную сконфигурировать новые сертификаты для всех них.
И как долго заканчивается сертификация CA? или это также 5 лет? – James
The Puppet CA вычисляет срок действия сертификата таким же образом для всех сертификатов, включая его собственный. Итак, да, с настройками по умолчанию, самозаверяющий сертификат CA CA длится 5 лет. –
Благодарим вас за это. – James