Configurando o puppetmaster: o hostname não correspondia ao certificado do servidor

Question

Configurando o puppetmaster: o hostname não correspondia ao certificado do servidor

#1 resposta do (1 votos)

2

Eu sou novo na criação de Puppet e Puppetmaster ... Temos a configuração de fantoches anteriormente, e novos novos puppetmaster ...

3ª edição

Após excluir os arquivos ssl no master (ghive-ldap) e no client (giab10)

O nome do host para o mestre é ghive-ldap e no nome do host do cliente eu tenho isso.

No mestre:

puppet cert clean ghive-ldap
puppet cert generate --dns_alt_names ghive-ldap ghive-ldap


sudo puppetca --sign giab10
err: Could not call sign: Could not find certificate request for giab10

então, no cliente:

sudo puppet cert --generate giab10
notice: giab10 has a waiting certificate request
notice: Signed certificate request for giab10
notice: Removing file Puppet::SSL::CertificateRequest giab10 at '/var/lib/puppet/ssl/ca/requests/giab10.pem'
notice: Removing file Puppet::SSL::CertificateRequest giab10 at '/var/lib/puppet/ssl/certificate_requests/giab10.pem'
giabadmin@giab10:~$ sudo puppet cert --list --all
+ giab10 (0F:CB:............)

Eu corri isso no cliente

sudo puppetd --test --debug
.....
err: Could not retrieve catalog from remote server: getaddrinfo: Name or service not know

Tudo bem ... deixe-me tentar isso no cliente

sudo puppet agent --server ghive-ldap --waitforcert 60 --test --verbose
err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run

Garrrrr ..... eu apaguei os arquivos ssl e ainda sem sorte !! Algo deve ter dado errado ...

Como eu começo desde o começo? Eu não ajudou muito com a documentação ... Desculpe por ser um noob .. Obrigado

PS: Além disso, como você garante que os dois servidores tenham tempo sincronizado?

puppet puppetmaster

por CppLearner 13.06.2012 / 22:46

1 resposta

Tags puppet puppetmaster

alguns PDF's para iPhones via ActiveSync estão corrompidos ssh DenyUsers - não está funcionando com a configuração do RHEL6

score 1 · Accepted Answer

Qual nome (s) do host fez o puppetmaster gerar seu certificado? O cliente de marionetes espera que o certificado seja válido para "puppetmaster", mas não parece ser emitido para este nome de host. Eu acho que "fantoche" pode ser o CN padrão no mestre de fantoches, ou então o nome do host do servidor. Você pode verificar isso executando "openssl x509 -text -in cert.pem" no certificado do servidor, ou se conectar a https://yourpuppetmaster:8140/ com um navegador e ver quais domínios estão no CN e dns_alt_names do certificado.

EDITAR

Você tem um certificado apenas para "mestre", mas seu cliente se conecta a "puppetmaster". Portanto, ou o cliente precisa esperar "mestre" ou você precisa de um certificado para "mestre-de-fantoches" em seu mestre. Um "certname = puppetmaster" no bloco [master] em puppet.conf mudará o CN no servidor ( link ). Pode ser necessário remover os certificados antigos, mas não tenho certeza disso. Ou, você pode fazer com que o cliente se conecte ao "master", adicionando-o a / etc / hosts, ou à sua zona DNS, se estiver executando um.