У меня две сети, и в обеих я использую Puppet для управления конфигурацией. Вторая сеть, расширение первой, имеет свой ЦС, в котором я использую автоподпись. У меня есть несколько узлов, и я пытаюсь использовать некоторые прокси, которые у меня есть в первой сети. Очевидно, что этим прокси потребуется действующий сертификат от каждого ЦС.
Чтобы получить сертификат от второго сетевого ЦС, я определил ресурс exec в манифестах прокси, в которых я использую недопустимую среду. Таким образом, я получаю сертификат, но запуск марионеточного агента не завершен. Все идет нормально.
Сложность заключается в том, что мне нужно, чтобы эти новые сертификаты имели альтернативные имена DNS. Насколько я знаю, мне нужно добавить параметр dns_alt_names во второй сетевой ЦС puppet.conf, но это не вариант по двум причинам:
- Все сертификаты (даже не прокси-узлы) будут иметь эти альтернативные имена.
- Альтернативные имена запрещены по умолчанию, поэтому мне приходится подписывать сертификаты вручную, используя --allow-dns-alt-names.
Любая альтернатива/решение о том, как это сделать?
ln -s. - person Dmitry Sukhodoyev schedule 22.04.2016