运行厨师签入厨师服务器的远程节点要求证书文件位于/etc/chef/trusted_certs/。我最初通过在节点配置过程中编写的脚本来处理这个问题。
但是,对于已部署的主机,我不能再这样做了。我只需更新我的厨师服务器的SSL证书,所以现在我需要更新远程节点。
那么在我无法直接访问的已部署Chef-clients上更新所需SSL证书的最佳方法是什么?
答案 0 :(得分:1)
最好的方法是使用Chef本身更新它,但这意味着在更新Chef服务器上的私有部分之前,需要小心将所有主机上的新公共/ CA证书完全推出。一般来说,这应该不会太多。如果您希望重新生成服务器密钥,则应该使用更正式的内部CA,并将CA证书(很少更改)部署到主机。
更新的细节可能是cookbook_file资源,并将所有证书塞入某个食谱中。