Como rejeitar o pedido de certificado no Puppet Master?

Navegue suas respostas
13

Eu tenho algumas solicitações de agentes que tinham nomes de host incorretos. Eu corrigi isso, mas ainda tenho as solicitações pendentes com os nomes de host ruins.

Eu tentei: 

$puppet cert list
  "wrong.host.name" (SHA256) 8E:...:51

$ puppet cert revoke wrong.host.name
Error: Could not find a serial number for wrong.host.name

$ puppet cert clean wrong.host.name
Error: Could not find a serial number for wrong.host.name

Qual é a maneira correta de se livrar deles?

    
por Louis 17.07.2014 / 19:14

4 respostas

23

Usar ca funciona melhor e pode remover um certificado em uma única etapa, diferentemente %código%. Importante, não faz você assinar temporariamente um certificado inválido. 

$ puppet ca destroy wrong.host.name
Notice: Removing file Puppet::SSL::CertificateRequest wrong.host.name at '/var/lib/puppet/ssl/ca/requests/wrong.host.name.pem'
Deleted for wrong.host.name: Puppet::SSL::CertificateRequest

O comando cert foi descontinuado recentemente então, em algum momento, ele pode desaparecer, mas não há comando equivalente. Existe um bug arquivado, no qual você pode votar se acha um pouco idiota remover esse comando sem substituição.

    
por 18.02.2015 / 18:17
3

Solução possível 1:

Usar o puppet cert clean no mestre de marionetes é o caminho correto. No entanto, desde que você está recebendo erros, você pode ter um inventário incorreto de certificados.

Tente fazer um novo inventário e depois limpe: 

$ puppet cert reinventory
$ puppet cert clean --all

Observação: meu exemplo usa o sinalizador --all , isso limpará todos os certificados, assinados e não assinados. Além disso, esteja ciente de que o mestre de marionetes deve ser interrompido antes de executar um reinventory .

Fonte: link

Solução possível 2: 

$ puppet cert sign wrong.host.name
Notice: Signed certificate request for wrong.host.name
Notice: Removing file Puppet::SSL::CertificateRequest wrong.host.name at '/var/lib/puppet/ssl/ca/requests/wrong.host.name.pem'

$ puppet cert clean wrong.host.name
Notice: Revoked certificate with serial 87
Notice: Removing file Puppet::SSL::Certificate wrong.host.name at '/var/lib/puppet/ssl/ca/signed/wrong.host.name.pem'
Notice: Removing file Puppet::SSL::Certificate wrong.host.name at '/var/lib/puppet/ssl/certs/wrong.host.name.pem'

Solução possível 3:

Primeiro: no servidor 

$ puppet cert --revoke wrong.host.name
$ puppet cert --clean wrong.host.name

Segundo: no cliente 

$ rm -rf /usr/lib/puppet/ssl
$ puppet agent --server [puppetmaster domain name] --waitforcert 60

Terceiro: no servidor (ajuste conforme necessário) 

$ puppet cert --list (you should see your host)
$ puppet cert --sign wrong.host.name

Além disso, verifique se seu cliente pode acessar seu [nome de domínio do puppetmaster].

Fonte: link

    
por 17.07.2014 / 19:33
2

Aqui está como eu fiz 

[root@puppetmc ca]# puppet cert clean sparrow.home
Error: Could not find a serial number for sparrow.home
[root@puppetmc ca]# cat inventory.txt 
0x0002 2015-05-17T06:33:29GMT 2020-05-16T06:33:29GMT /CN=puppetmc.home
0x0003 2015-05-17T23:25:33GMT 2020-05-16T23:25:33GMT /CN=sparrow.rospop.com
0x0004 2015-05-18T00:53:18GMT 2020-05-17T00:53:18GMT /CN=puppetmc.home
0x0005 2015-05-18T02:18:12GMT 2020-05-17T02:18:12GMT /CN=sparrow.rospop.com
[root@puppetmc ca]# vi  inventory.txt

adicionou a linha abaixo ao inventory.txt: 

0x0001 2015-05-17T06:33:29GMT 2020-05-16T06:33:29GMT /CN=sparrow.home

execute 

[root@puppetmc ca]# puppet cert clean sparrow.home
Notice: Revoked certificate with serial 1
Notice: Removing file Puppet::SSL::CertificateRequest sparrow.home at '/var/lib/puppet/ssl/ca/requests/sparrow.home.pem'
Vince Bhebhe
    
por 19.05.2015 / 13:25
1

"Quando clean falhou em uma instância, tive que assinar e, em seguida, limpar "

Disse meu colega

    
por 01.02.2016 / 23:49

Tags

Desabilitar a verificação ortográfica no IE 10/11 (no Windows 7, 8, 8.1) Cygwin alternativo para windows? [fechadas]