如何更改puppetmaster證書默認的使用期限

零基礎學習Puppet自動化配置管理系列文檔

PuppetMaster默認簽發時間是5年，也就意味着5年後全部證書都會過時，過時意味着不可用，想一想當作千上萬臺服務器都通過了CA的簽發，到時候從新籤是多麼可怕的一件事情啊。那麼有什麼版本能將證書的過時時間延長呢？

查看證書目前有效期

[root@kspupt-ca1 ~]# openssl x509 -text -noout -in /var/lib/puppet/ssl/certs/ca.pem | grep -i validity -A 2
        Validity
            Not Before: Aug 31 09:19:25 2014 GMT
            Not After : Aug 31 09:19:25 2019 GMT

能夠看出證書的有效期爲5年，那麼如何改爲10年呢。

步驟以下：

一、刪除以前的CA

[root@kspupt-ca1 ~]# rm -rf /var/lib/puppet/ssl

備註：刪除以前，你以前籤的全部證書都不可用了哦，慎重！

二、編輯配置文件puppet.conf

[root@kspupt-ca1 ~]# cat /etc/puppet/puppet.conf
[main]
    user = puppet
    group = puppet
    vardir = /var/lib/puppet
    confdir = /etc/puppet
    logdir = /var/log/puppet
    rundir = /var/run/puppet
    ssldir = $vardir/ssl
    pluginsync = true
  privatekeydir = $ssldir/private_keys { group = service }
  hostprivkey = $privatekeydir/$certname.pem { mode = 640 }
  hostprivkey = $privatekeydir/puppetca.pem { mode = 640 }
  autosign       = $confdir/autosign.conf { mode = 664 }
[agent]
    server = puppetmaster
  ca_server = puppetca
    classfile = $vardir/classes.txt
    localconfig = $vardir/localconfig
    runinterval=86400
    report = true
    authconfig = /etc/puppet/namespaceauth.conf
    usecacheonfailure = false
    certname = kspupt-ca1
  default_schedules = false
  masterport    = 8140
  environment   = prd
  listen        = false
  splay         = false
  noop          = false
  show_diff     = false
  configtimeout = 120
[master]
  autosign       = $confdir/autosign.conf { mode = 664 }
  confdir  = /etc/puppet
  certname = puppetca
  ca       = true
  ca_ttl   = 10y   #添加這個字段

三、從新生成CA服務器

[root@kspupt-ca1 ~]# puppet  cert --generate --dns_alt_names puppetca:puppet puppetca  
Notice: Signed certificate request for ca
Notice: puppetca has a waiting certificate request
Notice: Signed certificate request for puppetca
Notice: Removing file Puppet::SSL::CertificateRequest puppetca at '/var/lib/puppet/ssl/ca/requests/puppetca.pem'
Notice: Removing file Puppet::SSL::CertificateRequest puppetca at '/var/lib/puppet/ssl/certificate_requests/puppetca.pem'

四、查看現有CA服務器生成證書的有效期

[root@kspupt-ca1 ~]# openssl x509 -text -noout -in /var/lib/puppet/ssl/certs/ca.pem | grep -i validity -A 2
        Validity
            Not Before: Oct 20 01:51:00 2014 GMT
            Not After : Oct 18 01:51:00 2024 GMT
[root@kspupt-ca1 ~]#

能夠看出證書的有效期變成了10年，贊不讚！

返回主目錄

交流方式：

微信公衆號：puppet2014，可微信搜索加入，也能夠掃描如下二維碼進行加入

微信公衆號

QQ交流羣：296934942