Wykorzystanie alternatywnego urzędu certyfikacji (takiego jak Microsoft Certificate Services) z Puppet

10

Badam, czy mogę w jakiś sposób sprawić, by ekosystem kukiełkowy wykorzystał nasz istniejący urząd certyfikacji Microsoft Enterprise, zamiast być własnym urzędem certyfikacji.

Ponieważ marionetka mówi, że cały system jest „standardowy SSL”, domyślam się, że jest to całkowicie możliwe bez dużej zmiany marionetki, JEDNAK to prawdopodobnie ogromny ręczny ból głowy, chyba że marionetka jest edytowana w celu wykonania odpowiednich połączeń z przedsiębiorstwem CA.

Czy ktoś już tego próbował? Czy to „tu smoki, odwróćcie się!” sytuacja?

Peter Grace
źródło
3
Nie robiłem tego wcześniej, ale sposobem, w jaki do tego podejdę, byłoby wybicie podrzędnego certyfikatu CA z AD i wstępne wypełnienie katalogów SSL puppetmaster tymi plikami. I nadzieja.
sysadmin1138
Jak spodziewasz się wydanych certyfikatów? Czy spodziewasz się, że klient lalek poprosi o to sam?
Zoredache

Odpowiedzi:

2

Sprawdzanie poprawności i hierarchia certyfikatów w marionetkach jest rzeczywiście standardowym protokołem SSL, ale jest to swego rodzaju częściowa implementacja standardów - istnieje od dawna prośba o funkcję, aby poprawić obsługę bardziej skomplikowanych wdrożeń .

Jeśli celem jest przeniesienie wystawiania i zatwierdzania certyfikatów do systemu usług certyfikatów AD (i nigdy puppet cert signwięcej nie pisz), prawdopodobnie nie będziesz miał szczęścia bez prac programistycznych.

Klient używa własnego interfejsu API REST Puppet do obsługi wysyłania żądań certyfikatów, pobierania podpisanych certyfikatów, dostępu do AIA i CRL itp .; musisz zaimplementować klej między tymi wywołaniami interfejsu API a punktami dostępowymi usług certyfikatów AD w usługach RPC.

Ale jeśli szukasz certyfikatów Puppet w łańcuchu zaufania w katalogu głównym usługi AD CS, zalecenie sysadmin1138 powinno działać świetnie (chociaż ja też tego nie przetestowałem - znajdę trochę czasu, aby to zrobić i zaktualizować ty).

Klienci Puppet będą traktować pośredni CA Puppet tak, jakby był to główny urząd certyfikacji (który da działającą weryfikację bez konieczności posiadania wiedzy na temat roota), jednocześnie będąc ważnymi potomkami prawdziwego głównego urzędu certyfikacji.

Shane Madden
źródło