Autosign certificates

La signature de certificats est un processus essentiel de puppet visant à renforcer la sécurité du puppetmaster et de ses données.

Dans le cas d’une architecture sécurisée/maîtrisée/fermée avec beaucoup de machines à déployer, il peut être judicieux de changer de stratégie et d’autoriser les machines à accéder immédiatement au puppet master, sans intervention manuelle, permettant de déployer rapidement un grand parc de machines.

Pour pouvoir utiliser la fonction de signature automatique de certificats il suffit de créer/modifier le fichier autosign.conf contenu dans votre répertoire puppet. Il existe plusieurs syntaxes

myhost.my.domain
*.my.domain
*
  • Le premier exemple permet de signer automatiquement le certificat associé à un hôte.
  • Le second exemple s’applique à tout un domaine DNS (et sous domaines, attention)
  • Le dernier autorise toutes les machines (dangereux)

Cette procédure est efficace, mais reste limitée. En effet, si la machine cliente est réinstallée, le certificat changera et, de ce fait, le certificat signé ne correspondra plus. Il faut donc révoquer le certificat client en amont de la prochaine demande.

puppet cert clean myhost.my.domain

Source