Verwenden einer alternativen Zertifizierungsstelle (wie Microsoft Certificate Services) mit Puppet

10

Ich untersuche, ob ich das Marionetten-Ökosystem irgendwie dazu bringen kann, unsere vorhandene Microsoft Enterprise-Zertifizierungsstelle zu nutzen, anstatt eine eigene Zertifizierungsstelle zu sein.

Da Puppet ankündigt, dass das gesamte System "Standard-SSL" ist, ist es meiner Meinung nach durchaus möglich, dies ohne großen Wechsel der Puppe zu tun. Es ist jedoch wahrscheinlich ein großer manueller Kopfschmerz, es sei denn, Puppet wird bearbeitet, um die richtigen Anrufe an das Unternehmen zu tätigen CA.

Hat das schon mal jemand versucht? Ist es ein "hier sind Drachen, wende dich ab!" Situation?

Peter Grace
quelle
3
Ich habe dies noch nicht getan, aber die Art und Weise, wie ich dies angehen würde, wäre, ein untergeordnetes CA-Zertifikat von AD zu prägen und die Puppetmaster-SSL-Verzeichnisse mit diesen Dateien vorab zu füllen. Und Hoffnung.
sysadmin1138
Wie erwarten Sie die Ausstellung der Zertifikate? Erwarten Sie, dass der Puppen-Client diese irgendwie selbst anfordert?
Zoredache

Antworten:

2

Das Zertifikatvalidierungs- und Hierarchieverhalten in Puppet ist zwar Standard-SSL, stellt jedoch eine teilweise Implementierung der Standards dar. Es gibt eine langjährige Anforderung an Funktionen, um die Unterstützung für kompliziertere Bereitstellungen zu verbessern .

Wenn das Ziel darin besteht, die Ausstellung und Genehmigung von Zertifikaten auf das AD Certificate Services-System zu übertragen (und nie puppet cert signwieder einzugeben), haben Sie wahrscheinlich ohne Softwareentwicklungsarbeit kein Glück.

Der Client verwendet die eigene REST-API von Puppet, um Zertifikatanforderungen zu stellen, signierte Zertifikate abzurufen, AIA- und CRL-Zugriff zu ermöglichen usw.; Sie müssen einen Klebstoff zwischen diesen API-Aufrufen und den RPC-Zugriffspunkten von AD Certificate Services implementieren.

Wenn Sie jedoch nur nach Ihren Puppet-Zertifikaten suchen, die sich in der Vertrauenskette unter Ihrem AD CS-Stamm befinden, sollte die Empfehlung von sysadmin1138 hervorragend funktionieren (obwohl ich sie auch nicht getestet habe - ich werde etwas Zeit finden, dies zu tun und zu aktualisieren Sie).

Die Puppet-Clients behandeln die Puppet-Zwischenzertifizierungsstelle so, als wäre sie eine Stammzertifizierungsstelle (die eine funktionierende Validierung liefert, ohne dass sie Kenntnisse über die Stammzertifizierungsstelle benötigen), während sie weiterhin gültige Nachkommen der realen Stammzertifizierungsstelle sind.

Shane Madden
quelle