Estou passando por algumas revogações de certificação no mestre de marionetes e esse comportamento parece ser aleatório.
Acabei de verificar um dos certificados de AC e descobri o seguinte:
# openssl crl -text -in /var/lib/puppet/ssl/ca/ca_crl.pem
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /CN=Puppet CA: puppet.master
Last Update: Dec 16 11:55:15 2015 GMT
Next Update: Dec 14 11:55:16 2020 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:FF:9D:F6:0B:4A:17:27:A6:7D:DF:3A:8A:FC:D1:99:73:24:CA:87:08
X509v3 CRL Number:
83
Revoked Certificates:
Serial Number: 02
Revocation Date: Nov 18 10:55:38 2015 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
...... (a saída continua com vários certificados revogados)
O que causa o erro "Compromisso de chave" do OpenSSL? Nenhuma alteração de FQDN foi feita no agente nem em nenhum arquivo relacionado ao sistema. Também verifiquei se as versões do OpenSSL dos servidores que possuem os certificados revogados são as mesmas que outras que o certificado é válido: OpenSSL 1.0.1e-30
Obrigado a todos!
Você poderia ter encontrado isso?
If for any reason you need to fully re-install a given node without changing its fqdn, either use the previous certificate or clean this node certificate (which will automatically revoke the certificate for your own security)
(ênfase minha)
Tags ssl openssl puppet certificate