6

During initial configuration of the Puppet agent, the agent obtains a security certificate signed by an authority recognized by the master -- most often the master itself -- with which it will subsequently identify itself to the master. Does this certificate ever expire or require an update?

4

1 回答 1

5

是的,所有由 Puppet CA 签名的证书都有一个到期日期,包括代理证书、主证书以及 CA 自己的自签名证书(如果实际上它正在使用)。过期时间戳是通过将固定偏移量(由配置设置指定ca_ttl)添加到证书签署的日期和时间来设置的。默认的 ttl 是五年,这足以涵盖许多组织中所有机器的全部使用寿命。

比代理证书过期更成问题的是 CA 证书过期。如果您在没有配置新 CA 证书的情况下让这种情况发生,那么主节点和节点此后将拒绝彼此的证书,从而迫使您为所有这些证书手动配置新证书。

于 2015-10-17T20:25:04.893 回答