如何更改puppetmaster证书默认的使用期限

简介:

零基础学习Puppet自动化配置管理系列文档

PuppetMaster默认签发时间是5年,也就意味着5年后所有证书都会过期,过期意味着不可用,想想看成千上万台服务器都经过了CA的签发,到时候重新签是多么可怕的一件事情啊。那么有什么版本能将证书的过期时间延长呢?

查看证书目前有效期

[root@kspupt-ca1 ~]# openssl x509 -text -noout -in /var/lib/puppet/ssl/certs/ca.pem | grep -i validity -A 2
        Validity
            Not Before: Aug 31 09:19:25 2014 GMT
            Not After : Aug 31 09:19:25 2019 GMT

可以看出证书的有效期为5年,那么如何改成10年呢。

步骤如下:

1、删除之前的CA

[root@kspupt-ca1 ~]# rm -rf /var/lib/puppet/ssl

备注:删除之前,你之前签的所有证书都不可用了哦,慎重!

2、编辑配置文件puppet.conf

[root@kspupt-ca1 ~]# cat /etc/puppet/puppet.conf
[main]
    user = puppet
    group = puppet
    vardir = /var/lib/puppet
    confdir = /etc/puppet
    logdir = /var/log/puppet
    rundir = /var/run/puppet
    ssldir = $vardir/ssl
    pluginsync = true
  privatekeydir = $ssldir/private_keys { group = service }
  hostprivkey = $privatekeydir/$certname.pem { mode = 640 }
  hostprivkey = $privatekeydir/puppetca.pem { mode = 640 }
  autosign       = $confdir/autosign.conf { mode = 664 }
[agent]
    server = puppetmaster
  ca_server = puppetca
    classfile = $vardir/classes.txt
    localconfig = $vardir/localconfig
    runinterval=86400
    report = true
    authconfig = /etc/puppet/namespaceauth.conf
    usecacheonfailure = false
    certname = kspupt-ca1
  default_schedules = false
  masterport    = 8140
  environment   = prd
  listen        = false
  splay         = false
  noop          = false
  show_diff     = false
  configtimeout = 120
[master]
  autosign       = $confdir/autosign.conf { mode = 664 }
  confdir  = /etc/puppet
  certname = puppetca
  ca       = true
  ca_ttl   = 10y   #添加这个字段

3、重新生成CA服务器

[root@kspupt-ca1 ~]# puppet  cert --generate --dns_alt_names puppetca:puppet puppetca  
Notice: Signed certificate request for ca
Notice: puppetca has a waiting certificate request
Notice: Signed certificate request for puppetca
Notice: Removing file Puppet::SSL::CertificateRequest puppetca at '/var/lib/puppet/ssl/ca/requests/puppetca.pem'
Notice: Removing file Puppet::SSL::CertificateRequest puppetca at '/var/lib/puppet/ssl/certificate_requests/puppetca.pem'

4、查看现有CA服务器生成证书的有效期

[root@kspupt-ca1 ~]# openssl x509 -text -noout -in /var/lib/puppet/ssl/certs/ca.pem | grep -i validity -A 2
        Validity
            Not Before: Oct 20 01:51:00 2014 GMT
            Not After : Oct 18 01:51:00 2024 GMT
[root@kspupt-ca1 ~]#

可以看出证书的有效期变成了10年,赞不赞!

本文转自凌激冰51CTO博客,原文链接:http://blog.51cto.com/dreamfire/1566168,如需转载请自行联系原作者

相关文章
|
Web App开发 存储 安全
|
4月前
|
存储 弹性计算 运维
客户端证书自动颁发脚本
【4月更文挑战第30天】
42 1
|
4月前
|
Kubernetes Linux 调度
K8S证书过期解决办法之替换证书
K8S证书过期解决办法之替换证书
828 0
解决Office 365套件一直提示“缓存凭据已到期,无法上载或下载你的更改”问题
解决Office 365套件一直提示“缓存凭据已到期,无法上载或下载你的更改”问题
解决Office 365套件一直提示“缓存凭据已到期,无法上载或下载你的更改”问题
|
网络安全
更新 LetsEncrypt 证书
更新 LetsEncrypt 证书
220 0
|
存储 安全 关系型数据库
插件未购买或已到期,请重新绑定帐号后重试,如操作无效,请将服务器出口IP改为:8XX.XXX.XX.XX
插件未购买或已到期,请重新绑定帐号后重试,如操作无效,请将服务器出口IP改为:8XX.XXX.XX.XX
801 0
|
关系型数据库 数据库 数据安全/隐私保护
数据库密码过期和取消期限限制
数据库密码过期和取消期限限制 过期的原因一般有两种可能:一.由于oracle11g中默认在default概要文件中设置了“PASSWORD_LIFE_TIME=180天”所导致。二.由于oracle11g中默认在default概要文件中设置了“FAILED_LOGIN_ATTEMPTS=10次”,当输入密码错误次数达到设置值将导致此问题。
1633 0
Confluence 6 推荐的更新通知设置和禁用
你可以设置默认的发送选项(发送 / 不发送)和默认的发送时间(每天或每周)。 如何配置推荐更新电子邮件通知: 在屏幕的右上角单击 控制台按钮 ,然后选择 General Configuration 链接。
1493 0