正しい中間CA証明書を自動的に検索

Question

PuppetlabsのApacheモジュールを使用してApache HTTPDを実行している複数のクラスタを設定するにはPuppetを使用しています。

すべての証明書はgitリポジトリに格納されています。パペットは既に（例えばpuppet://files-host/path/to/certs/${fqdn}.crt）にアクセスしています。

ここで、使用された証明書ごとに中間CA証明書（apacheクラスの変数ssl_chain）を明示的に指定する必要があります。

Puppetに正しい中間CA証明書が自動的に見つかるようにすることはできますか？ 「本当の」スクリプト言語では、すべての* .pemファイルを繰り返して、証明書の発行者とその主題を比較します。しかし、それはどのように人形館で働くことができますか？

中間CA証明書をすべての証明書に埋め込むことは望ましくありません。

Answer 1

私の問題の解決策があります。これは最適な方法ではありませんが、Puppetが管理するインフラストラクチャの場合は唯一のようです。

すべての中間CA証明書はgitリポジトリの1つのディレクトリにあり、Puppetはフォルダの全内容を管理対象ホストに置きます（ファイルリソースの「再帰的」および「パージ」属性をtrueに設定します） 。

各証明書とキーファイルも、ファイルリソースを使用して展開されます。証明書ファイルのファイルリソースは、shell scriptを実行するexecリソースに、正しいCA証明書を静的ファイルパス（つまり、/etc/ssl/private/my-domain.pem->/etc/ssl/ca /​​ some）にシンボリックリンクすることを通知します-ca.pem。したがって、FQDNごとに3つのファイル（fqdn.crt、fqdn.key、およびfqdn.pem）があります。