Utilizando uma CA alternativa (como Microsoft Certificate Services) com o Puppet

Estou investigando se, de alguma forma, posso fazer com que o ecossistema de marionetes utilize nossa CA corporativa da Microsoft Enterprise em vez de ser sua própria CA.

Como o fantoche defende que todo o sistema é "SSL padrão", meu palpite é que é completamente possível fazer isso sem muita troca de fantoches; no entanto, é provável que haja uma enorme dor de cabeça manual, a menos que o fantoche seja editado para fazer as chamadas apropriadas para a empresa. CA.

Alguém já tentou isso antes? É um "aqui seja dragões, afaste-se!" situação?

A validação de certificado e o comportamento da hierarquia no fantoche é realmente SSL padrão, mas é uma espécie de implementação parcial dos padrões - há uma solicitação de recurso de longa data para melhorar seu suporte a implantações mais complicadas .

Se o objetivo é obter a emissão e a aprovação do certificado transferidas para o sistema dos Serviços de Certificados do AD (e nunca digitar puppet cert signnovamente), provavelmente você está sem sorte sem algum trabalho de desenvolvimento de software.

O cliente usa a API REST do Puppet para lidar com solicitações de certificados, busca de certificados assinados, acesso AIA e CRL, etc .; você precisaria implementar cola entre essas chamadas de API e os pontos de acesso RPC dos Serviços de Certificados do AD.

Mas, se você está apenas procurando por seus certificados Puppet na cadeia de confiança sob sua raiz do AD CS, a recomendação de sysadmin1138 deve funcionar muito bem (embora eu também não o tenha testado - vou encontrar um tempo para fazer isso e atualizar você).

Os clientes Puppet tratam a CA Puppet intermediária como se fosse uma CA raiz (que produzirá a validação de trabalho sem que eles precisem ter conhecimento da raiz), enquanto continuam sendo descendentes válidos da CA raiz real.