Bagaimana cara menolak permintaan sertifikat pada Master Wayang?

13

Saya memiliki beberapa permintaan dari agen yang memiliki nama host yang buruk. Saya telah memperbaiki ini, tetapi masih memiliki permintaan yang luar biasa dengan nama host yang buruk.

Saya mencoba:

$puppet cert list
  "wrong.host.name" (SHA256) 8E:...:51

$ puppet cert revoke wrong.host.name
Error: Could not find a serial number for wrong.host.name

$ puppet cert clean wrong.host.name
Error: Could not find a serial number for wrong.host.name

Apa cara yang tepat untuk menyingkirkan mereka?

Louis
sumber

Jawaban:

23

Menggunakan caberfungsi lebih baik, dan dapat menghapus sertifikat dalam satu langkah berbeda cert. Yang penting, itu tidak membuat Anda untuk sementara waktu menandatangani sertifikat yang tidak valid.

$ puppet ca destroy wrong.host.name
Notice: Removing file Puppet::SSL::CertificateRequest wrong.host.name at '/var/lib/puppet/ssl/ca/requests/wrong.host.name.pem'
Deleted for wrong.host.name: Puppet::SSL::CertificateRequest

The puppet caperintah baru-baru ini telah usang sehingga di beberapa titik mungkin pergi, tetapi tidak ada perintah setara. Ada bug yang diajukan, yang bisa Anda pilih jika Anda merasa agak konyol untuk menghapus perintah ini tanpa penggantian.

Nick
sumber
Ini adalah jawaban yang benar. Semua instruksi yang diberikan oleh jawaban yang diterima tidak berfungsi atau mengharuskan Anda untuk menandatangani sertifikat yang Anda tahu buruk.
tedivm
Apa yang dikatakan @tedivm. Oleh karena itu: +1.
gf_
Ini berfungsi, tetapi ditandai sebagai usang. Adakah yang tahu apa metode baru itu?
Swiss
@ Apakah Anda memiliki tautan ke beberapa dokumen yang menunjukkan bahwa itu sudah usang?
Nick
1
puppet cert cleansekarang berfungsi untuk menghapus permintaan. Lihat laporan bug yang ditautkan.
7yl4r
3

Kemungkinan Solusi 1:

Menggunakan puppet cert cleanmaster boneka adalah cara yang tepat. Namun karena Anda mendapatkan kesalahan, Anda mungkin memiliki inventaris sertifikat yang buruk.

Coba lakukan inventarisasi ulang lalu bersihkan:

$ puppet cert reinventory
$ puppet cert clean --all

Catatan: contoh saya menggunakan --allbendera, ini akan menghapus semua sertifikat, ditandatangani dan tidak ditandatangani. Perlu diketahui juga bahwa Wayang harus dihentikan sebelum menjalankan a reinventory.

Sumber: http://docs.puppetlabs.com/references/3.6.2/man/cert.html

Kemungkinan Solusi 2:

$ puppet cert sign wrong.host.name
Notice: Signed certificate request for wrong.host.name
Notice: Removing file Puppet::SSL::CertificateRequest wrong.host.name at '/var/lib/puppet/ssl/ca/requests/wrong.host.name.pem'

$ puppet cert clean wrong.host.name
Notice: Revoked certificate with serial 87
Notice: Removing file Puppet::SSL::Certificate wrong.host.name at '/var/lib/puppet/ssl/ca/signed/wrong.host.name.pem'
Notice: Removing file Puppet::SSL::Certificate wrong.host.name at '/var/lib/puppet/ssl/certs/wrong.host.name.pem'

Kemungkinan Solusi 3:

Pertama: Di Server

$ puppet cert --revoke wrong.host.name
$ puppet cert --clean wrong.host.name

Kedua: Pada Klien

$ rm -rf /usr/lib/puppet/ssl
$ puppet agent --server [puppetmaster domain name] --waitforcert 60

Ketiga: Di Server (sesuaikan seperlunya)

$ puppet cert --list (you should see your host)
$ puppet cert --sign wrong.host.name

Juga, periksa kembali apakah klien Anda dapat mencapai [nama domain kepala sekolah Anda].

Sumber: /server/574976/puppet-trying-to-configure-puppet-client-for-first-use-but-got-some-problems-wi

tbenz9
sumber
Terima kasih, saya mencoba reinventorydan kemudian clean wrong.host.namekarena saya tidak ingin mencabut sertifikat yang baik juga, tetapi saya masih mendapatkan kesalahan nomor seri.
Louis
Tangkapan bagus di --all. Saya baru saja menambahkan pembaruan yang layak dicoba.
tbenz9
Hebat, setelah melakukan puppet cert sign wrong.host.namemenggunakan cleankarya. Tampaknya saya harus menandatanganinya terlebih dahulu.
Louis
1
Juga jangan lupa untuk memulai kembali layanan master boneka setelah membersihkan sertifikat apa pun.
Robert Fey
1
FYI, jawaban yang lain jauh lebih baik daripada yang ini. Jika Anda mengikuti saran OP, Anda akan menjalankan perintah yang tidak berfungsi (seperti perintah bersih) atau Anda akan menandatangani sertifikat yang Anda tahu buruk. Jika Anda mengikuti saran di bawah ini dan hanya menggunakan puppet ca destroy wrong.host.nameAnda tidak harus memperkenalkan risiko keamanan untuk infrastruktur Anda.
tedivm
2

Inilah yang saya lakukan

[root@puppetmc ca]# puppet cert clean sparrow.home
Error: Could not find a serial number for sparrow.home
[root@puppetmc ca]# cat inventory.txt 
0x0002 2015-05-17T06:33:29GMT 2020-05-16T06:33:29GMT /CN=puppetmc.home
0x0003 2015-05-17T23:25:33GMT 2020-05-16T23:25:33GMT /CN=sparrow.rospop.com
0x0004 2015-05-18T00:53:18GMT 2020-05-17T00:53:18GMT /CN=puppetmc.home
0x0005 2015-05-18T02:18:12GMT 2020-05-17T02:18:12GMT /CN=sparrow.rospop.com
[root@puppetmc ca]# vi  inventory.txt 

menambahkan baris di bawah ini ke inventory.txt:

0x0001 2015-05-17T06:33:29GMT 2020-05-16T06:33:29GMT /CN=sparrow.home

lalu lari

[root@puppetmc ca]# puppet cert clean sparrow.home
Notice: Revoked certificate with serial 1
Notice: Removing file Puppet::SSL::CertificateRequest sparrow.home at '/var/lib/puppet/ssl/ca/requests/sparrow.home.pem'
Vince Bhebhe
bermalas-malasan
sumber