Sử dụng CA thay thế (Giống như Dịch vụ chứng chỉ của Microsoft) với Puppet

Tôi đang điều tra xem liệu bằng cách nào đó tôi có thể làm cho hệ sinh thái bù nhìn sử dụng Microsoft Enterprise CA hiện tại của chúng tôi chứ không phải là CA của chính nó.

Vì con rối nói rằng tất cả hệ thống là "SSL tiêu chuẩn", tôi đoán là hoàn toàn có thể làm điều này mà không cần thay đổi nhiều con rối, TUY NHIÊN có thể là một cơn đau đầu thủ công trừ khi con rối được chỉnh sửa để thực hiện các cuộc gọi thích hợp cho doanh nghiệp CA.

Có ai đã thử điều này trước đây? Có phải là "ở đây là rồng, quay đi!" tình hình?

Hành vi xác thực và phân cấp chứng chỉ trong con rối thực sự là SSL tiêu chuẩn, nhưng đó là một dạng thực thi một phần của các tiêu chuẩn - có một yêu cầu tính năng lâu dài ngoài kia để cải thiện hỗ trợ cho việc triển khai phức tạp hơn .

Nếu mục tiêu là để cấp giấy chứng nhận và phê duyệt được chuyển sang hệ thống Dịch vụ chứng chỉ quảng cáo (và không bao giờ gõ puppet cert signlại), thì có lẽ bạn đã hết may mắn nếu không có một số công việc phát triển phần mềm.

Máy khách sử dụng API REST của riêng Puppet để xử lý các yêu cầu chứng chỉ, tìm nạp các chứng chỉ đã ký, truy cập AIA và CRL, v.v.; bạn cần triển khai keo giữa các lệnh gọi API đó và các điểm truy cập RPC của Dịch vụ chứng chỉ quảng cáo.

Nhưng, nếu bạn chỉ tìm kiếm chứng chỉ Con rối của mình trong chuỗi tin cậy dưới gốc AD CS của mình, thì đề xuất của sysadmin1138 sẽ hoạt động tốt (mặc dù tôi cũng chưa thử nghiệm - tôi sẽ tìm thời gian để làm điều đó và cập nhật bạn).

Các khách hàng Puppet sẽ đối xử với Puppet CA trung gian như thể đó là một CA gốc (sẽ mang lại xác nhận hoạt động mà không cần họ biết về root), trong khi vẫn là hậu duệ hợp lệ của CA gốc.