Saya memiliki Master / Agen Wayang yang diatur, dan telah berhasil menandatangani sertifikat untuk agen di master. Namun, ketika saya menjalankan puppet agent --test
saya mendapatkan kegagalan yang terlihat seperti ini:
Warning: Unable to fetch my node definition, but the agent run will continue:
Warning: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Info: Retrieving plugin
Error: /File[/var/lib/puppet/lib]: Failed to generate additional resources using 'eval_generate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: /File[/var/lib/puppet/lib]: Could not evaluate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com] Could not retrieve file metadata for puppet://hostname.domain.com/plugins: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Warning: Not using cache on failed catalog
Error: Could not retrieve catalog; skipping run
Error: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
sang hostname.domain.com
master
Bagaimana cara saya memperbaikinya? Saya telah memastikan bahwa kedua jam berada pada waktu yang tepat di zona waktu yang sama, saya telah menghapus semua yang ada di /var/lib/puppet/ssl
direktori agen dan mengundurkan diri, saya tidak tahu harus berbuat apa lagi.
debian
ssl
puppet
puppetmaster
puppet-agent
John Smith
sumber
sumber
masterhost.domain.com
sama denganhostname.domain.com
pertanyaan Anda, bukan? Mari kita coba ini, kita akan melihat apakah sertifikat memverifikasi secara manual; jalankanopenssl s_client -connect masterhost.domain.com:8140 -showcerts
, dan salin data sertifikat (dimulai dengan-----BEGIN CERTIFICATE-----
, sertakan baris itu dan baris sertifikat akhir) ke dalam file baru, kemudian jalankanopenssl verify -CAfile /var/lib/puppet/ssl/certs/ca.pem /path/to/file/from/last/command
, dan lihat apakah itu diverifikasi.-showcerts
dengan isi/var/lib/puppet/ssl/certs/ca.pem
- mereka harus identik?Jawaban:
Buat ulang seluruh pengaturan sertifikat klien. Ini selalu memperbaiki masalah sertifikat yang pernah kami alami di masa lalu. Instruksi berikut mengasumsikan nama host agen Anda adalah agenthost.hostname.com
Pada klien, hapus semua sertifikat yang disimpan, termasuk CA:
Pada master, hapus CSR yang tertunda atau sertifikat klien lama untuk klien ini:
Kemudian, pada klien, sambungkan kembali ke master dan kirim CSR:
dan ketika menunggu (jika Anda belum mengaktifkan tanda otomatis diaktifkan) maka pada master menyetujui CSR sehingga sertifikat klien baru dikirim kembali:
Ini harus membuat agen mengunduh ulang sertifikat boneka CA, dan mendaftar ulang untuk sertifikatnya sendiri.
Kami harus menggunakan prosedur ini di masa lalu ketika kami mengubah server boneka dan sertifikat CA berubah, atau ketika kami membangun kembali sebuah host dengan nama host yang sama.
Pastikan agen Anda tahu nama host yang benar-benar memenuhi syarat; gunakan perintah 'hostname' untuk memastikan bahwa itu yang Anda harapkan.
sumber
puppet cert clean ‘agentName’
bekerja untuk saya. RHEL Wayang Perusahaan ssl lokasi:/etc/puppetlabs/puppet/ssl
. Dan saya sudah menyinkronkan waktu antara Master dan Agen.Saya punya masalah serupa. Saya telah mengatur lingkungan gelandangan dengan satu dalang dan beberapa klien. Masalahnya adalah ketika saya menghancurkan dan menciptakan kepala boneka, klien mendeteksi kepala boneka baru sebagai penipu.
Menghapus
/etc/puppet/ssl
klien memecahkan masalah.Ingat bahwa konfigurasi ssl Anda akan di-cache, sehingga diperlukan restart dari master wayang , jika Anda memutuskan untuk juga menghapus Anda
/etc/puppet/ssl
di host tersebut:sumber
service puppetserver restart
memperbaikinya untuk saya