1

我正在尝试解决与过期 ca 证书相关的问题。

我替换了位于/etc/puppetlabs/puppet/ssl/ca/ca_crt.pem (使用这些说明的证书。

然后重新启动 puppet-server,但代理仍然看到过期的证书。

我注意到还有一个值localcacert指向稍微不同的路径etc/puppetlabs/puppet/ssl/certs/ca.pem

我在 Puppet 文档上看到了这个小片段

每个客户端存储 CA 证书的位置。

默认值:$certdir/ca.pem

我对此感到困惑。描述使它听起来像是客户端存储证书的文件夹,但值是单个 pem 文件。

谁能澄清这两个 ca pem 文件之间的区别?

如果我更新一个,我可以用我的新 pem 覆盖另一个吗?

4

1 回答 1

1

谁能澄清这两个 ca pem 文件之间的区别?

cacert设置仅与主站相关。它指定证书的位置,主服务器的托管 CA 将使用该证书签署通信。

localcacert设置指定 CA 证书的客户端副本的位置(包含公钥,而不是私钥)。这是机器将用来验证 CA 签署的证书的方法。

在这两种情况下,您都不应该过多地阅读“位置”一词。这些设置指定证书文件,而不是目录。

于 2018-01-25T18:21:11.640 回答