使用自动签名
优质
小牛编辑
177浏览
2023-12-01
在密码学中,跟生活一样,在你签名时必须小心慎重。一般地,当你要为 Puppetmaster 介绍一个新的客户端加入时,需要先在客户端上生成一个证书请求(certificate request), 然后到 Puppetmaster 上签署这个证书请求。 然而,你可以使用 自动签名(autosigning) 跳过这一步骤。
操作步骤
在 Puppetmaster 上创建文件 /etc/puppet/autosign.conf
,包含如下内容:
*.example.com
工作原理
Puppet 会检查所有的证书请求是否匹配 autosign.conf
中任何一行。 任何能匹配客户端主机名 *.example.com
的证书请求,Puppetmaster 都会为其自动签名。
这里存在一个潜在的安全问题,因为这相当于 Puppetmaster 信任了任何可以连接到它的客户端 (只要主机名匹配)。基于这种原因,不推荐你使用自动签名。 如果你确信要使用自动签名,请确保 Puppetmaster 被防火墙保护,且只允许信任的客户端或者 IP 地址段连接 Puppetmaster。更安全的做法是使用 预签名(pre-signing)。 |
参见本书
本章的 预签名证书 一节