如何更改puppetmaster证书默认的使用期限-阿里云开发者社区

开发者社区> 科技小先锋> 正文

如何更改puppetmaster证书默认的使用期限

简介:
+关注继续查看

零基础学习Puppet自动化配置管理系列文档

PuppetMaster默认签发时间是5年,也就意味着5年后所有证书都会过期,过期意味着不可用,想想看成千上万台服务器都经过了CA的签发,到时候重新签是多么可怕的一件事情啊。那么有什么版本能将证书的过期时间延长呢?

查看证书目前有效期

[root@kspupt-ca1 ~]# openssl x509 -text -noout -in /var/lib/puppet/ssl/certs/ca.pem | grep -i validity -A 2
        Validity
            Not Before: Aug 31 09:19:25 2014 GMT
            Not After : Aug 31 09:19:25 2019 GMT

可以看出证书的有效期为5年,那么如何改成10年呢。

步骤如下:

1、删除之前的CA

[root@kspupt-ca1 ~]# rm -rf /var/lib/puppet/ssl

备注:删除之前,你之前签的所有证书都不可用了哦,慎重!

2、编辑配置文件puppet.conf

[root@kspupt-ca1 ~]# cat /etc/puppet/puppet.conf
[main]
    user = puppet
    group = puppet
    vardir = /var/lib/puppet
    confdir = /etc/puppet
    logdir = /var/log/puppet
    rundir = /var/run/puppet
    ssldir = $vardir/ssl
    pluginsync = true
  privatekeydir = $ssldir/private_keys { group = service }
  hostprivkey = $privatekeydir/$certname.pem { mode = 640 }
  hostprivkey = $privatekeydir/puppetca.pem { mode = 640 }
  autosign       = $confdir/autosign.conf { mode = 664 }
[agent]
    server = puppetmaster
  ca_server = puppetca
    classfile = $vardir/classes.txt
    localconfig = $vardir/localconfig
    runinterval=86400
    report = true
    authconfig = /etc/puppet/namespaceauth.conf
    usecacheonfailure = false
    certname = kspupt-ca1
  default_schedules = false
  masterport    = 8140
  environment   = prd
  listen        = false
  splay         = false
  noop          = false
  show_diff     = false
  configtimeout = 120
[master]
  autosign       = $confdir/autosign.conf { mode = 664 }
  confdir  = /etc/puppet
  certname = puppetca
  ca       = true
  ca_ttl   = 10y   #添加这个字段

3、重新生成CA服务器

[root@kspupt-ca1 ~]# puppet  cert --generate --dns_alt_names puppetca:puppet puppetca  
Notice: Signed certificate request for ca
Notice: puppetca has a waiting certificate request
Notice: Signed certificate request for puppetca
Notice: Removing file Puppet::SSL::CertificateRequest puppetca at '/var/lib/puppet/ssl/ca/requests/puppetca.pem'
Notice: Removing file Puppet::SSL::CertificateRequest puppetca at '/var/lib/puppet/ssl/certificate_requests/puppetca.pem'

4、查看现有CA服务器生成证书的有效期

[root@kspupt-ca1 ~]# openssl x509 -text -noout -in /var/lib/puppet/ssl/certs/ca.pem | grep -i validity -A 2
        Validity
            Not Before: Oct 20 01:51:00 2014 GMT
            Not After : Oct 18 01:51:00 2024 GMT
[root@kspupt-ca1 ~]#

可以看出证书的有效期变成了10年,赞不赞!

本文转自凌激冰51CTO博客,原文链接:http://blog.51cto.com/dreamfire/1566168,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
如何在 Kubernetes 环境中搭建 MySQL(四):使用 StorageClass 挂接 RBD
MySQL + Kubernetes 1. 简介 在系列文章的第三篇中,讲到了如何使用 PV 和 PVC 挂载 RBD 上建立好的块存储镜像,但这还是不足以满足 cloud native 环境下的需求,试想如果部署一个应用,需要申请十个 R...
1484 0
如何使用putty连接阿里云服务器
如何使用putty连接阿里云服务器
1263 0
6967
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载