Я исследую, могу ли я каким-то образом заставить марионеточную экосистему использовать наш существующий ЦС Microsoft Enterprise вместо того, чтобы быть ее собственным ЦС.
Поскольку марионетка рекламирует, что вся система является "стандартным SSL", я предполагаю, что это вполне возможно сделать без значительного изменения марионетки, ОДНАКО это, вероятно, огромная ручная головная боль, если марионетка не отредактирована для правильных вызовов предприятию CA.
Кто-нибудь пробовал это раньше? Это что, драконы, отворачивайтесь! ситуация?
Проверка сертификата и поведение иерархии в марионетке действительно являются стандартным SSL, но это своего рода частичная реализация стандартов - есть давний запрос функции для улучшения поддержки более сложных развертываний.
Если цель состоит в том, чтобы выдача сертификата и утверждение было перенесено в систему служб сертификации AD (и никогда не вводите puppet cert sign снова), то вам, вероятно, не повезло без некоторой работы по разработке программного обеспечения.
Клиент использует собственный REST API Puppet для обработки запросов сертификатов, получения подписанных сертификатов, доступа к AIA и CRL и т. Д .; вам нужно будет реализовать связь между этими вызовами API и точками доступа RPC служб сертификации AD.
Но если вы просто хотите, чтобы ваши сертификаты Puppet находились в цепочке доверия под вашим корнем AD CS, тогда рекомендация sysadmin1138 должна работать отлично (хотя я тоже ее не тестировал - я найду время, чтобы сделать это и обновить ты).
Клиенты Puppet будут обрабатывать промежуточный CA Puppet, как если бы он был корневым CA (что даст рабочую проверку без необходимости знания корневого CA), оставаясь при этом действительными потомками настоящего корневого CA.