Chef bootstrap chef-server, déployez ma propre validation.pem et webui.pem

J'ai une validation existante et des keys privées webui que je souhaite utiliser pour un nouveau deployment chef-server. Une partie de mon model bootstrap copy ces keys dans / etc / chef /. Quand chef-solo fait sa course et démarre chef-server, comment puis-je empêcher l'écrasement de /etc/chef/validation.pem et /etc/chef/webui.pem.

Alternativement, existe-t-il un process pour replace validation.pem et webui.pem par une autre paire de keys que j'ai en main? Tout ce que je peux find est des instructions pour que le server les régénère.

validation.pem est la key privée d'un client spécial dans le server chef appelé chef-validator . Alors que webui.pem est la key privée du client client chef.

Vous pouvez régénérer les keys privées / publiques de tout client via l'API du couteau ou l'IU Web du server chef.

Personnellement, je ne suggérerais pas "replace" une key privée, mais la régénérer car il s'agit de données sensibles et vous ne devriez pas continuer à utiliser une solution spéciale pendant longtime. Au lieu de cela, régénérez-les dans une certaine période pour des raisons de security.

Cependant, il est possible de pirater le magasin de données de la bibliothèque sous /var/opt/chef-server/bookshelf/data de votre hôte server chef 11 pour changer la key publique stockée dans un file object. Par exemple, vous pouvez extraire l'URL de l'object lorsque vous effectuez le knife client show chef-validator -VV command knife client show chef-validator -VV . Je ne le recommand fortement pas parce que c'est un piratage.