Recepta na wygasający certyfikat CA

On 25 stycznia 2017 by puppetmaster

Jeśli używasz infrastruktury Puppet od kilku lat prawdopodobnie zbliża się czas wygaśnięcia twojego certyfikatu CA. Puppet polega na wewnętrznym PKI do uwierzytelniania oraz bezpiecznej komunikacji  i kiedy CA wygaśnie cały system po prostu się zatrzyma. Domyślnie Puppet generuje certyfikaty, których czas życia wynosi 5 lat, więc warto wcześniej pomyśleć o ich odświeżeniu. Przegenerowanie wszystkich certyfikatów to masa pracy i nieunikniony downtime. Na szczęście mamy lepsze rozwiązanie…

Tak swój moduł puppetlabs-certregen zareklamował dzisiaj na grupie puppet-announce Adrien Thebo. Jest to oficjalny projekt firmy Puppet. Zachęcamy do zapoznania się z jego możliwościami, m.in.:

Moduł certregen pozwala w łatwy sposób przegenerować i rozdystrybuować certyfikaty CA w trybie „zero downtime”. Kiedy regenerujesz CA za pomocą tego modułu zostanie ponownie użyta twoja istniejąca para kluczy CA. Nowe CA będzie praktycznie identyczne jak stare i utrzyma ważność wszystkich innych certyfikatów, które zostały podpisane przez stare CA, a więc możesz podmienić samo CA bezprzerwowo.

Autor dziękuje zespołowi Puppet Customer Success i Zackowi Smithowi za testy i udokumentowanie procesu migracji, który wspiera ww. moduł.

CHANGELOG można znaleźć pod adresem: https://github.com/puppetlabs/puppetlabs-certregen/blob/master/CHANGELOG.md

Moduł w repozytorium Puppet Forge znajduje się tutaj: https://forge.puppet.com/puppetlabs/certregen

Instrukcja instalacji i użycia znajduje się tutaj: https://github.com/puppetlabs/puppetlabs-certregen/blob/master/README.markdown

Jira jest używana do śledzenia błędów i zmian w tym projekcie: https://tickets.puppetlabs.com/browse/MODULES/component/20300/

Zapraszamy do testowania!

Comments are closed.