使用自动签名

优质

小牛编辑

174浏览

2023-12-01

在密码学中，跟生活一样，在你签名时必须小心慎重。一般地，当你要为 Puppetmaster 介绍一个新的客户端加入时，需要先在客户端上生成一个证书请求（certificate request），然后到 Puppetmaster 上签署这个证书请求。然而，你可以使用 自动签名（autosigning） 跳过这一步骤。

操作步骤

在 Puppetmaster 上创建文件 /etc/puppet/autosign.conf ，包含如下内容：

*.example.com

工作原理

Puppet 会检查所有的证书请求是否匹配 autosign.conf 中任何一行。任何能匹配客户端主机名 *.example.com 的证书请求，Puppetmaster 都会为其自动签名。

这里存在一个潜在的安全问题，因为这相当于 Puppetmaster 信任了任何可以连接到它的客户端（只要主机名匹配）。基于这种原因，不推荐你使用自动签名。如果你确信要使用自动签名，请确保 Puppetmaster 被防火墙保护，且只允许信任的客户端或者 IP 地址段连接 Puppetmaster。更安全的做法是使用 预签名（pre-signing）。

参见本书

本章的预签名证书一节