### 使用自动签名 在密码学中，跟生活一样，在你签名时必须小心慎重。一般地，当你要为 Puppetmaster 介绍一个新的客户端加入时，需要先在客户端上生成一个证书请求（certificate request）， 然后到 Puppetmaster 上签署这个证书请求。 然而，你可以使用 **自动签名（autosigning）** 跳过这一步骤。 #### 操作步骤 在 Puppetmaster 上创建文件 /etc/puppet/autosign.conf ，包含如下内容： ``` *.example.com ``` #### 工作原理 Puppet 会检查所有的证书请求是否匹配 autosign.conf 中任何一行。 任何能匹配客户端主机名 *.example.com 的证书请求，Puppetmaster 都会为其自动签名。 >  > 这里存在一个潜在的安全问题，因为这相当于 Puppetmaster 信任了任何可以连接到它的客户端 （只要主机名匹配）。基于这种原因，不推荐你使用自动签名。 如果你确信要使用自动签名，请确保 Puppetmaster 被防火墙保护，且只允许信任的客户端或者 IP 地址段连接 Puppetmaster。更安全的做法是使用 **预签名（pre-signing）**。 #### 参见本书 * 本章的 [预签名证书](#ch01sec07) 一节