一、    關於證書在master的認識

我們知道puppet為了安全，采用ssl隧道通信，因此需要申請證書來驗證的，當puppet master第一次啟動的時候，可以查看/var/log/message有類似如下的信息：

Jul 25 03:14:01 localhost puppet-master[25011]: Signed certificate request for ca

Jul 25 03:14:01 localhost puppet-master[25011]: Rebuilding inventory file

Jul 25 03:14:01 localhost puppet-master[25011]: puppet.zhang.com has a waiting certificate request

Jul 25 03:14:01 localhost puppet-master[25011]: Signed certificate request for puppet.zhang.com

Jul 25 03:14:01 localhost puppet-master[25011]: Removing file Puppet::SSL::CertificateRequest puppet.zhang.com at '/etc/puppet/ssl/ca/requests/puppet.zhang.com.pem'

Jul 25 03:14:01 localhost puppet-master[25011]: Removing file Puppet::SSL::CertificateRequest puppet.zhang.com at '/etc/puppet/ssl/certificate_requests/puppet.zhang.com.pem'

從日誌中我們可以看出第一次啟動的時候，puppet master創建本地認證中心，給自己簽發證書和key，你可以在/etc/puppet/ssl看到那些證書和key。這個目錄和/etc/puppet/puppet.conf文件中配置的ssldir路徑有關系。

ll /etc/puppet/ssl/   ssl目錄的內容如下：

drwxrwx--- 5 puppet puppet 4096 Jul 25 03:01 ca

drwxr-xr-x 2 puppet root   4096 Jul 25 03:01 certificate_requests

drwxr-xr-x 2 puppet root   4096 Jul 25 03:01 certs

-rw-r--r-- 1 puppet puppet  398 Jul 25 03:01 crl.pem

drwxr-x--- 2 puppet root   4096 Jul 25 03:01 private

drwxr-x--- 2 puppet root   4096 Jul 25 03:01 private_keys

drwxr-xr-x 2 puppet root   4096 Jul 25 03:01 public_keys

二、    關於證書在agent的認識

puppet agent在第一次連接master的時候會向master申請證書，如果沒有master沒有簽發證書，那麽puppet agent和master的連接是否建立成功的，agent會持續等待master簽發證書，並會每隔2分鐘去檢查master是否簽發證書。

通過puppet agent --server= puppet.zhang.com --no-daemonize –verbose啟動的時候能很清楚的查看到agent申請證書的過程

puppet agent --server=puppet.zhang.com --no-daemonize --verbose

info: Creating a new SSL key for node1.zhang.com

info: Caching certificate for ca

#申請證書

info: Creating a new SSL certificate request for node1.zhang.com

info: Certificate Request fingerprint (md5): 54:11:FB:75:87:94:AF:6B:D1:6B:AD:6B:44:3E:74:A0

#等待證書簽發

warning: peer certificate won't be verified in this SSL session

#2分鐘檢查一次，如果沒有簽發就顯示如下信息

notice: Did not receive certificate

#證書簽發成功後，順利建立連接

info: Caching certificate for node1.zhang.com

notice: Starting Puppet client version 2.6.16

info: Caching certificate_revocation_list for ca

info: Caching catalog for node1.zhang.com

info: Applying configuration version '1344943902'

notice: Finished catalog run in 0.11 seconds

                   類似於上面的就是去申請證書了。當master簽發證書以後就可以順利建立連接了。

三、    Master端證書的管理

1.         在master上查看申請證書請求

puppet cert --list

2.         簽發證書

puppet cert --sign node1.zhang.com

如果一次性簽發所有的證書，采用如下命令：

puppet cert --sign –all

也可以設置自動簽發證書。

3.         讓證書過期

puppet cert -revoke puppet-test

刪除證書

puppet cert --clean puppet-test

證書簽名的過期或刪除需要重啟puppetmaster服務。

4.         可以通過/etc/puppet/auth.conf文件配置簽名的ACL列表。

四、    Agent端證書的管理

1.         刪除已有的證書

清空 /etc/puppet/ssl(這個目錄和你的/etc/puppet/puppet.conf文件中配置的ssldir路徑有關系)下的文件和目錄

2.         重啟申請證書

puppet agent --server puppet.zhang.com --test

在客戶端與服務端簽名不能正常進行的時候，請刪除後重新簽名