使用自动签名

在密码学中,跟生活一样,在你签名时必须小心慎重。一般地,当你要为 Puppetmaster 介绍一个新的客户端加入时,需要先在客户端上生成一个证书请求(certificate request), 然后到 Puppetmaster 上签署这个证书请求。 然而,你可以使用 自动签名(autosigning) 跳过这一步骤。

操作步骤

在 Puppetmaster 上创建文件 /etc/puppet/autosign.conf ,包含如下内容:

*.example.com

工作原理

Puppet 会检查所有的证书请求是否匹配 autosign.conf 中任何一行。 任何能匹配客户端主机名 *.example.com 的证书请求,Puppetmaster 都会为其自动签名。

重要

这里存在一个潜在的安全问题,因为这相当于 Puppetmaster 信任了任何可以连接到它的客户端 (只要主机名匹配)。基于这种原因,不推荐你使用自动签名。 如果你确信要使用自动签名,请确保 Puppetmaster 被防火墙保护,且只允许信任的客户端或者 IP 地址段连接 Puppetmaster。更安全的做法是使用 预签名(pre-signing)

参见本书