Utilizzando una CA alternativa (come i Servizi certificati Microsoft) con Puppet

Sto studiando se posso in qualche modo far sì che l'ecosistema fantoccio utilizzi la nostra CA Microsoft Enterprise esistente anziché essere la sua stessa CA.

Dal momento che Puppet afferma che tutto il sistema è "standard SSL", la mia ipotesi è che è completamente possibile farlo senza molti cambiamenti di Puppet, TUTTAVIA è probabilmente un enorme mal di testa manuale a meno che Puppet non sia modificato per effettuare le chiamate appropriate all'azienda CIRCA.

Qualcuno l'ha già provato? È un "qui sii draghi, allontana!" situazione?

La convalida del certificato e il comportamento della gerarchia in Puppet è in effetti SSL standard, ma è una sorta di implementazione parziale degli standard: esiste una richiesta di funzionalità di lunga data per migliorare il supporto per implementazioni più complicate .

Se l'obiettivo è ottenere l'emissione e l'approvazione del certificato trasferite al sistema Servizi certificati AD (e non digitare mai puppet cert signpiù), probabilmente sei sfortunato senza qualche lavoro di sviluppo software.

Il client utilizza l'API REST di Puppet per gestire la richiesta di certificati, il recupero di certificati firmati, l'accesso AIA e CRL, ecc .; dovresti implementare la colla tra quelle chiamate API e i punti di accesso RPC di Servizi certificati AD.

Ma, se stai solo cercando i tuoi certificati Puppet per essere nella catena di fiducia sotto la tua radice di AD CS, allora la raccomandazione di sysadmin1138 dovrebbe funzionare benissimo (anche se non l'ho nemmeno testato - troverò un po 'di tempo per farlo e aggiornarlo voi).

I client Puppet tratteranno la CA Puppet intermedia come se fosse una CA radice (che produrrà una validazione funzionante senza che necessitino di conoscenza della radice), pur rimanendo discendenti validi della CA radice reale.