読者です 読者をやめる 読者になる 読者になる

Puppetをインストールする part5

今回は、こちらの続きをやっていきます。

http://ressy-tech.hatenablog.jp/entry/tech/puppet/install4

5. Master側での署名確認(Master)

前回は、AgentのインストールとMasterへの接続テストを行いました。
今回は、Master側でAgentの証明書へ署名を行います。
この作業が必要なのは、MasterはAgentからの接続が、正規ホストからのものであることを認証しているためです。

まずは、署名待ちになっている証明書を確認します。
以下のように実行しましょう。

# puppet cert list --all
  "dbs01" (SHA256) xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
  "web01" (SHA256) yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy
+ "mgs01" (SHA256) zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz (alt names: ....)

ホスト名の前に、+がついて入れば署名済み、ついていなければ署名されてない状態となります。
上記の場合、WEB01とDBS01が署名されてない状態となります。

※ MGS01は、Masterサーバと兼用しているためか、私の環境では最初から署名済みでした。
  この部分は定かではないので、少し調べる必要がありそうです。

署名されてない証明書に署名をしましょう。
以下を実行します。

# puppet cert sign --all
Notice: Signed certificate request for web01
Notice: Removing file Puppet::SSL::CertificateRequest web01 at '/var/lib/puppet/ssl/ca/requests/web01'
Notice: Signed certificate request for dbs01
Notice: Removing file Puppet::SSL::CertificateRequest dbs01 at '/var/lib/puppet/ssl/ca/requests/dbs01'

改めて、puppet cert list --allを実行しましょう。

# puppet cert list --all
+ dbs01" (SHA256) xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
+ "web01" (SHA256) yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy
+ "mgs01" (SHA256) zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz (alt names: ....)

全てのホスト名の前に+がつきました。
これで全てのサーバの署名が完了しました。

Puppetのインストールで必要な作業は以上になります。
ここまでを実施して、初めてマニフェストを各サーバへ適用できるようになりました。
次回は、マニフェストを実際に書いてみます。