木偶5年後證書何時到期？

Question

我讀，對木偶證書的默認截止日期爲5年，並可以設定設置在puppet.conf屬性ca_ttl。

我有2個問題，因爲連接到木偶大師衆多代理商的設置。

1. 代理證書過期時會發生什麼？它是否會在簽入主文件時自動創建一個新文件，還是需要手動完成？

2. 當CA證書過期，會發生什麼？設置是否完全斷開連接，要求您通過SSH連接到每個代理以刪除過期的證書？

Answer 1

代理證書過期

當代理的證書過期，未來的代理簽入將失敗很早。我不記得確切的錯誤，但它會是這樣的：

錯誤：無法檢索從遠程服務器的目錄：所以SSL_connect返回= 1個錯誤號= 0狀態= SSLv3的讀取服務器證書B：證書驗證失敗。

發生這種情況時，您必須從主服務器刪除證書，重新生成代理上的證書，然後在主服務器上重新簽署證書：這隻會影響一個代理。

全過程記錄在這裏：https://docs.puppet.com/pe/latest/agent_cert_regen.html

注：這通常是相當罕見的，因爲大多數人試圖去牲畜不是寵物莊園，在那裏機紡上下足夠頻繁代理機器唐超過5年沒有存在。

PuppetServer /碩士證書過期

當CA證書本身到期，那麼一切都停止：沒有溝通可以存在，因爲權力本身已過期。這更常見，因爲木偶大師更可能存在超過5年。

但是，是的：如果證書已經過期，你得找別的方法來配置的東西，如SSH，控制檯訪問或WinRM的。

木偶實際上創造了一個幫手模塊，以幫助這個過程中，由於OpenSSL的步驟略顯繁瑣的嘗試和做手工：

https://github.com/puppetlabs/puppetlabs-certregen

手工工藝也在這裏：

https://docs.puppet.com/puppet/latest/ssl_regenerate_certificates.html