O Puppet Agent ainda consegue se conectar ao mestre após a revogação do certificado

4

Em resumo:

  • O cliente se conecta pela primeira vez e solicita o cert;
  • no mestre, puppetca -s client é executado;
  • O cliente obtém o certificado e conclui a execução com êxito.

Bem. Mas agora:

  • no mestre, puppetca -c client é executado e o certificado do cliente não está mais na lista de certificados;
  • O cliente se conecta novamente e pode executar a execução normalmente;

Reiniciar o puppetmasterd não resolve o problema. Como posso evitar que o cliente se conecte depois que o certificado for revogado?

Obrigado antecipadamente

    
por chris 21.06.2012 / 08:21

1 resposta

1

A primeira coisa que você precisa fazer é verificar se o certificado está revogado na CA. Ative o seguinte comando para verificar se:

puppetca --list --all

Se você tiver certeza de que o certificado foi revogado, verifique se a assinatura automática está desativada. Não apenas o arquivo de autosign, verifique também o arquivo puppet.conf. Você tem que desativá-lo. Se você acha que seu infra será afetado por desativá-lo, simplesmente use auth.conf para bloquear o host em questão.

Espero que tenha ajudado.

    
por 19.07.2012 / 09:07

Tags