Marionete incapaz de enviar fatos para o Foreman - “tlsv1 alert unknown ca”

2

Atualizei recentemente o Katello para o 2.2 e o Foreman agora para o 1.8.1, e parece que, em algum momento da atualização, o Puppet agora não pode contatar o Foreman:

> [root@virt5 ~]# puppet agent --test info: 
> Retrieving plugin <snipped>
> err: Could not retrieve catalog from remote server: Error 400 on
> SERVER: Failed when searching for node virt5: Failed to find virt5.
> via exec: Execution of '/etc/puppet/node.rb virt5' returned 1:
> warning: Not using cache on failed catalog err: Could not retrieve
> catalog; skipping run

Ao executar o mesmo comando no meu puppetmaster, vejo:

[root @ foreman certs] # /etc/puppet/node.rbvirt5

Não foi possível enviar os fatos para o Foreman: SSL_connect retornado = 1 errno = 0 estado = SSLv3 ler o ticket de sessão do servidor A: alerta tlsv1 desconhecido ca

Eu tentei copiar o certificado /etc/pki/katello/certs/katello-default-ca.crt sendo usado pelo httpd para / etc / pki / ca-trust / source / anchors / e, em seguida, executar o comando update-ca. extrato de confiança, mas isso não parece ter feito a diferença.

Tenho certeza de que estou sentindo falta de algo bobo, só não tenho certeza sobre o que seria.

    
por srepetsk 21.05.2015 / 19:55

1 resposta

0

Um erro que estou vendo aqui (que deve estar mais claro na documentação) é que você acredita que Katello usa os certificados Puppet como Foreman, mas isso não acontece.

Na execução do host do Foreman / Katello:

capsule-certs-generate --capsule-fqdn "mycapsule.example.com"\ 
                       --certs-tar "~/mycapsule.example.com-certs.tar"

Onde mycapsule.example.com é seu outro mestre de marionetes.

Descompacte o tarball e copie o RPM do certificado "client-puppet" para    seu mestre de marionetes e instale-o

Copie alguns arquivos:

cp /etc/pki/katello-certs-tools/certs/*-puppet-client.crt /etc/puppet/foreman.crt
cp /etc/pki/katello-certs-tools/private/*-puppet-client.key /etc/puppet/foreman.key
cd /etc/puppet
wget https://katello.mydomain.net/pub/katello-default-ca.crt
chown puppet /etc/puppet/foreman.{crt,key} /etc/puppet/katello*

Configure seu /etc/puppet/foreman.yaml assim:

:url: "https://katello.mydomain.net"
:ssl_ca: "/etc/puppet/katello-default-ca.crt"
:ssl_cert: "/etc/puppet/foreman.crt"
:ssl_key: "/etc/puppet/foreman.key"

Isso deve acontecer.

    
por 22.05.2015 / 08:49