Puppet revoga certificados OpenSSL

1

Estou passando por algumas revogações de certificação no mestre de marionetes e esse comportamento parece ser aleatório.

Acabei de verificar um dos certificados de AC e descobri o seguinte:

# openssl crl -text -in /var/lib/puppet/ssl/ca/ca_crl.pem 

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: /CN=Puppet CA: puppet.master
        Last Update: Dec 16 11:55:15 2015 GMT
        Next Update: Dec 14 11:55:16 2020 GMT
        CRL extensions:
            X509v3 Authority Key Identifier:
                keyid:FF:9D:F6:0B:4A:17:27:A6:7D:DF:3A:8A:FC:D1:99:73:24:CA:87:08

            X509v3 CRL Number:
                83
Revoked Certificates:
    Serial Number: 02
        Revocation Date: Nov 18 10:55:38 2015 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise

...... (a saída continua com vários certificados revogados)

O que causa o erro "Compromisso de chave" do OpenSSL? Nenhuma alteração de FQDN foi feita no agente nem em nenhum arquivo relacionado ao sistema. Também verifiquei se as versões do OpenSSL dos servidores que possuem os certificados revogados são as mesmas que outras que o certificado é válido: OpenSSL 1.0.1e-30

Obrigado a todos!

    
por Alvaro Gomez Folgado 18.12.2015 / 12:03

1 resposta

0

Você poderia ter encontrado isso?

If for any reason you need to fully re-install a given node without changing its fqdn, either use the previous certificate or clean this node certificate (which will automatically revoke the certificate for your own security)

(ênfase minha)

    
por 18.12.2015 / 14:39