我們可以用另一個廚師服務器.pem替換一個廚師服務器.pem嗎？

Question

我的一個廚師服務器服務器關閉了。 我有它的.pem文件，並且已經設置了一個具有相同IP和主機名的新的主廚服務器。

我試過在/ etc/chef-server下取代了相同的.pem文件，但它不起作用。

爲了讓另一個廚師服務器使用來自不同廚師服務器的.pem文件，是否有任何部分需要更改？

Answer 1

/etc/chef-server/下，這些關鍵文件是隻讀的，只有兩個廚師客戶端加一個廚師用戶的私鑰文件：

1. chef-webui.pem - chef-webui
2. chef-validator.pem - chef-validator
3. admin.pem - 管理員用戶

你只需要更新2）和3），因爲1）永遠不會共享d出廚師服務器。

除了@StephenKing的第一個答案，我建議使用另一個管理員用戶來更新2）和3），因爲更新管理員用戶自己的公共密鑰是有風險的（一個錯誤會導致您失去管理）。因此，步驟是：

1. 安裝
它通過 openssl rsa -in chef-validator.pem -pubout
2. 從你的老廚師服務器現有的密鑰文件創建另一個管理員用戶
3. 提取公鑰
4. 運行命令knife configure -i頂替生成的公共新廚師服務器客戶的密鑰chef-validator由knife client edit chef-validator在vi中。
5. 重複步驟3）和4）管理員用戶通過命令knife user edit admin，而不必擔心任何錯誤，因爲您可以隨時重做。

Answer 2

The admin.pem and chef-validator.pem？

是的，你將不得不更新這兩個客戶端。使用admin.pem訪問新的Chef-Server並編輯chef-validator和admin客戶端（knife client edit admin，然後設置public_key條目，同時用\n替換換行符）。

Answer 3

我的建議是簡單地下載新的廚師服務器的密鑰和丟棄舊的：

ssh myusername@chefserver sudo cat /etc/chef-server/admin.pem   > ~/.chef/admin.pem 
ssh myusername@chefserver sudo cat /etc/chef-server/chef-validator.pem > ~/.chef/chef-validator.pem 
knife configure --server-url https://chefserver \ 
       --user admin \ 
       --key ~/.chef/admin.pem \ 
       --validation-client-name chef-validator \ 
       --validation-key ~/.chef/chef-validator.pem 

鑰匙落入了「的/ etc /廚師-server」目錄將無法正常工作。和你一樣，我也發現無法將現有私鑰上傳到新的廚師服務器。

如果你看一下相關的重點保養的各種API：

• Create client
• Update client
• Create user
• Update user

你會發現他們都返回私人鍵。這反映了當用戶想要創建或重新生成用戶時UI中的行爲。私人鑰匙顯示警告，廚師不會保存它。

所以，廚師生成密鑰對並返回並丟棄私有部分。