Вот в чем проблема ...
3 года назад мы создали конфигурацию с несколькими центрами обработки данных с минимальными зависимостями ресурсов между DC, насколько это было возможно. Разные сайты AD. Разные кукольники. Различные серверы системного журнала. Различные исходящие межсетевые экраны. Различные DNS-преобразователи. Различные ретрансляторы исходящей почты. Работы. Было приятно, неплохо получилось.
Теперь я пытаюсь установить Mcollective, чтобы мы могли выполнять некоторые распределенные команды и получать отчеты из марионетки. В настоящее время правила устанавливают задания cron, которые запускают сценарии bash, отправляемые марионеткой, которые выгружают выходные данные в общие ресурсы NFS, это кажется главным кандидатом для чего-то вроде mcollective.
Большая проблема заключается в том, что два марионеточных мастера используют центры сертификации, которые не связаны ни с чем, а Mcollective использует CA-проверку как ключевую часть своей схемы authn / authz.
Можно ли повторно подписать сертификаты ЦС третьим органом и, таким образом, создать единую цепочку сертификатов?
У нас уже есть марионеточные сертификаты на все, и, черт возьми, было бы здорово, если бы мы могли повторно использовать эти сертификаты. Как бы то ни было, в итоге мы получим две островные среды mcollective, что означает, что наша автоматизация должна подключаться к конечным точкам DC, чтобы выполнять команды. Было бы здорово, если бы у нас была единая точка для этого, тем более что activemq может работать с такой архитектурой.
Сценарий автоматического восстановления всех клиентских сертификатов с одинаковыми серийными номерами?
Магия OpenSSL с участием -set_serial?
Я бы действительно предпочел избежать повторного ввода ключей для всех сотен узлов, которые есть у этих марионеточных мастеров, но если это единственный способ сделать это, пусть так и будет.