パペットマスターとパペットノード間のHTTPS通信を理解しようとしています。私は共通のca.pem、server.pem、サーバーのプライベートと公開鍵が作成されることを理解しています。同じことがノード側で作成され、マスタでは安全な接続を確立するためにノードの証明書を信頼する必要があります。人形のhttpsコミュニケーションはどのように機能しますか?
しかし、その後、どのキーが使用されるのかを伝えていますか?
ソース:誰もが上の図を比較することで説明できる場合How does SSL really work?
それは素晴らしいことでしょう。 ありがとうございます。
このダイアグラムは、一方の側だけがSSL証明書を介して他方の側を識別する状況を示しています。これはWeb上では非常に一般的ですが、Puppetにとっては不十分です。
パペットエージェント/マスターセットアップでは、マスターがエージェントに対してそのアイデンティティを証明するだけでなく、エージェントはのアイデンティティをマスターに証明する必要があります。これは、「相互認証」と呼ばれることもあります。各側は、信頼できる当局によって署名されたその証明書のために、他方が信頼する準備ができている他方にSSL証明書を提示することによってこれを行う。この追加の交換は、ダイアグラムのステップ2と3のようになりますが、反対方向に実行されます。
Puppetで最も一般的には、マスターとエージェントはすべて、マスターによって実行されるプライベートCAに依存して信頼しますが、代わりに外部CAに依存する場合があります。どこに住んでいても運営している人なら、CAは自分の証明書によって識別されます。これらは、他の証明書が信頼されているかどうかを判断するのに、通信相手によって交換されるデータを暗号化することには関係しません。ダイアグラムには証明書の取得は含まれておらず、特定の証明書が「3.ブラウザの検証」として信頼されているかどうかのすべての側面が要約されています。
エージェントとマスターがそれぞれ相手を認識し信頼していることを確認すると、接続を介したデータ送信のセキュリティは、サーバー認証システムで行う相互認証システムと同じように進みます。双方向のデータの受け渡し(図には示されていません)は、ネゴシエートされた対称暗号とキーで暗号化されます。
ジョン、すばらしい説明に感謝します! – karthikeayan