Saya mencari secara online dan saya melihat beberapa orang memiliki masalah ini di daftar / papan lain. Ketika saya menjalankan sudo puppetd --waitforcert 60 --test untuk yang kedua kalinya setelah menandatangani sertifikat pada server master saya mendapatkan kesalahan ini-
notice: Got signed certificate
warning: Certificate validation failed; considering using the certname configuration option
err: /File[/var/lib/puppet/lib]: Failed to generate additional resources during transaction: Certificates were not trusted: hostname was not match with the server certificate
Saya tidak yakin saya mengerti apa masalahnya atau bagaimana cara memperbaikinya. Jadi itu sebabnya saya bertanya.
Saya mengatur wayang pada dua server di LAN saya. Puppetmaster bernama 'boneka' dan server lain bernama 'puppetclient'. Saya memasukkan puppet ke / etc / hosts di puppetclient.
menjalankan hostname -f akan menampilkan boneka dan pupperclient di server masing-masing. Saya tidak yakin harus mencoba apa lagi. Apakah ada yang punya wawasan?
sumber
rm -rf /var/lib/puppet/ssl
dan kemudian memulai kembaliJika Anda ingin menggunakan DNS CNAME untuk puppetmaster Anda, Anda dapat memulai puppetmaster menggunakan:
yang akan membuat puppetmaster digunakan
cname.domain.org
alih-alih nama domain yang memenuhi syarat standar.sumber
The
--certname cname.domain.org
pilihan bendera tampaknya telah melakukan trik untuk saya (di Amazon EC2)sumber
Anda dapat menanyakan facter (facter fqdn) apa nama hostnya dan lihat apakah itu konsisten dengan apa yang Anda harapkan. Lihat juga (secara default) / var / lib / puppet / ssl / dan lihat seperti apa sertifikatnya, jika mereka tidak memiliki nama host yang benar yang mungkin menjadi masalah Anda. Karena boneka melakukan semua komunikasi melalui HTTPS, itu cukup sensitif terhadap resolusi dan penamaan host.
sumber
Sebelum menginstal Wayang pada klien dan server yang Anda tuju, periksa file /etc/resolv.conf dan verifikasi bahwa entri domain pertama pada baris "search" adalah domain yang Anda inginkan untuk menjalankan Wayang. Sebagai contoh:
cari my.puppetdomain.com my.public.domain.com
nameserver 192.168.1.1 nameserver xxx.xxx.1.1
Selama fase instalasi Wayang, server Wayang akan menghasilkan sertifikat berdasarkan entri pencarian pertama di /etc/resolv.conf. Saya menemukan ini dengan cara yang sulit. Jika Anda melihat kesalahan terkait sertifikat pada simpul boneka apa pun, lakukan langkah-langkah berikut:
1) Edit /etc/resolv.conf dan verifikasi bahwa domain pertama yang tercantum dalam baris "pencarian" mencerminkan domain tempat Anda menjalankan Wayang.
2) Copot puppet (biarkan direktori / etc / puppet tetap utuh).
3) rm -rf / var / lib / boneka
4) Instal ulang Puppet (ini akan menghasilkan direktori baru / var / lib / puppet).
5) Jika melakukan ini di server Puppet, jalankan / usr / sbin / puppetmasterd --mkusers (atau jalankan / usr / local / sbin / puppetmasterd --mkusers ). Ini akan menghasilkan semua file yang diperlukan dalam / var / lib / puppet, termasuk sertifikat internal baru menggunakan nama domain yang tepat.
6) Jika melakukan ini pada klien Wayang, mulai Wayang dalam mode verbose, dengan tanda --waitforcert diaktifkan: puppetd -server .puppetdomain.com --waitforcert 60 --test Langkah ini akan mengirim permintaan sertifikat ke server Wayang.
7) Di server Wayang, daftarkan sertifikat tunggu:
puppetca --list
Anda harus melihat nama host dari klien Wayang membuat permintaan:
puppetclient1.puppetdomain.com
8) Dari server Wayang, tandatangani sertifikat klien Wayang yang baru saja terdaftar:
puppetca --sign puppetclient1.puppetdomain.com
Kemudian kamu selesai.
HTH ....
sumber
Apakah boneka dan boneka menyelesaikan dalam DNS? Jika tidak, Anda dapat mengedit file / etc / hosts untuk memetakan IP dan nama host. IIRC, Anda hanya perlu melakukan ini pada klien.
sumber