Soru Kukla ile alternatif bir CA (Microsoft Sertifika Hizmetleri gibi) kullanma


Kukla ekosisteminin bir şekilde kendi CA'sı olmayıp mevcut Microsoft Enterprise CA'mızı kullanıp kullanamayacağımı araştırıyorum.

Kukla, sistemin bütününün "standart SSL" olduğunu söylese, tahminimce bu kukla değiştirilmeksizin bunu yapmak tamamen mümkün, KÜÇÜK teşebbüsün doğru çağrıları yapması için düzenlenmiş olmadıkça, büyük bir manevi baş ağrısı olabilir. CA.

Bunu daha önce deneyen var mı? Bu bir "ejderhalar, dönüş!" durum?


10
2017-11-29 14:04


Menşei


Bunu daha önce yapmadım, ancak buna yaklaşma tarzım AD'den bir alt CA sertifikası alması ve puppetmaster SSL dizinlerini bu dosyalarla önceden doldurmasıdır. Ve umut. - sysadmin1138♦
Verilecek sertifikaları nasıl bekliyorsunuz? Kukla müşterisinin bir şekilde bunları kendi başına talep etmesini mi bekliyorsunuz? - Zoredache


Cevaplar:


Kukladaki sertifika doğrulama ve hiyerarşi davranışı gerçekten standart SSL'dir, ancak standartların kısmi bir uygulamasıdır. daha karmaşık dağıtımlar için desteğini geliştirmek için uzun süredir devam eden özellik talebi var.

Hedef sertifika ihracı almaksa ve onay AD Sertifika Hizmetleri sistemine taşınmışsa (ve asla yazmayın) puppet cert sign Yine), o zaman bazı yazılım geliştirme çalışmaları olmadan muhtemelen şansın kalıyor.

İstemci, sertifika taleplerini yerine getirmek, imzalı sertifikalar almak, AIA ve CRL erişimini yönetmek için Puppet'in kendi REST API'sini kullanır; Bu API çağrıları ve AD Sertifika Hizmetleri RPC erişim noktaları arasında yapıştırıcı uygulamanız gerekir.

Ancak, Kukla sertifikalarınızın AD CS kökünüzün altında güven zincirinde olmasını istiyorsanız, sysadmin1138'in tavsiyesi harika olmalı (test etmemem de - Bunu yapmak için biraz zaman bulacağım ve güncelleyeceğim sen).

Kukla müşterileri, ara Kukla İşkenceyi, bir kök CA (sanki kök bilgisine ihtiyaç duymadan çalışma doğrulama yapacaklar), gerçek kök CA'nın hala geçerli torunları gibi davranacaklar.


2
2017-11-29 23:57