Memanfaatkan CA alternatif (Seperti Layanan Sertifikat Microsoft) dengan Wayang

10

Saya sedang menyelidiki apakah saya bisa membuat ekosistem boneka memanfaatkan CA Microsoft Enterprise yang ada daripada menjadi CA-nya sendiri.

Karena calo boneka bahwa semua sistem adalah "SSL standar", tebakan saya adalah sangat mungkin untuk melakukan ini tanpa banyak mengubah wayang, NAMUN itu kemungkinan besar sakit kepala manual kecuali boneka diedit untuk melakukan panggilan yang tepat ke perusahaan CA.

Adakah yang pernah mencoba ini sebelumnya? Apakah itu "di sini jadilah naga, berbalik!" situasi?

Peter Grace
sumber
3
Saya belum pernah melakukan ini sebelumnya, tetapi cara saya akan mendekati ini adalah untuk mencetak sertifikat CA bawahan dari AD dan pra-mengisi direktori puppetmaster SSL dengan file-file itu. Dan harapan.
sysadmin1138
Bagaimana Anda mengharapkan sertifikat akan dikeluarkan? Apakah Anda mengharapkan klien boneka entah bagaimana memintanya sendiri?
Zoredache

Jawaban:

2

Validasi sertifikat dan perilaku hierarki dalam wayang memang SSL standar, tapi ini semacam implementasi parsial dari standar - ada permintaan fitur lama di sana untuk meningkatkan dukungannya untuk penyebaran yang lebih rumit .

Jika tujuannya adalah untuk memindahkan penerbitan dan persetujuan sertifikat ke sistem Layanan Sertifikat AD (dan tidak pernah mengetik puppet cert signlagi), maka Anda mungkin kurang beruntung tanpa beberapa pekerjaan pengembangan perangkat lunak.

Klien menggunakan REST API Puppet sendiri untuk menangani permintaan sertifikat, mengambil sertifikat yang ditandatangani, akses AIA dan CRL, dll .; Anda harus menerapkan lem antara panggilan API dan titik akses RPC Layanan Sertifikat AD.

Tetapi, jika Anda hanya mencari sertifikat wayang Anda dalam rantai kepercayaan di bawah akar CS CS Anda, maka rekomendasi sysadmin1138 akan bekerja dengan baik (meskipun saya belum mengujinya juga - saya akan menemukan waktu untuk melakukan itu dan memperbarui kamu).

Klien Wayang akan memperlakukan CA Wayang perantara seolah-olah itu adalah CA root (yang akan menghasilkan validasi kerja tanpa mereka membutuhkan pengetahuan tentang root), sementara masih menjadi keturunan yang valid dari CA akar sebenarnya.

Shane Madden
sumber