Puppet 3.3.1 Falha na verificação do certificado

1

Tenho problemas para configurar um cenário mestre / nó com o fantoche 3.3.1 (puppet opensource) no mestre e nos escravos. Os escravos estão em uma máquina windows e SLES. O mestre também está em uma máquina SLES.

O problema: na primeira vez que eu inicio o agente, ele cria um novo certificado e o envia para o mestre. No mestre, posso ver o pedido de certificado e aceitá-lo. Quando eu inicio o agente novamente, esta mensagem aparece:

Running Puppet agent on demand ...
Warning: Unable to fetch my node definition, but the agent run will continue:
Warning: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: c
ertificate verify failed: [certificate signature failure for /CN=my-master.com]
Info: Retrieving plugin
Error: /File[C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/PuppetLabs
/puppet/var/lib]: Failed to generate additional resources using 'eval_generate':
SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certifica
te verify failed: [certificate signature failure for /CN=my-master.com]
Error: /File[C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/PuppetLabs
/puppet/var/lib]: Could not evaluate: SSL_connect returned=1 errno=0 state=SSLv3
read server certificate B: certificate verify failed: [certificate signature fa
ilure for /CN=my-master.com] Could not retrieve file metadata f
or puppet://my-master.com/plugins: SSL_connect returned=1 errno
=0 state=SSLv3 read server certificate B: certificate verify failed: [certificat
e signature failure for /CN=my-master.com]
Error: Could not retrieve catalog from remote server: SSL_connect returned=1 err
no=0 state=SSLv3 read server certificate B: certificate verify failed: [certific
ate signature failure for /CN=my-master.com]
Warning: Not using cache on failed catalog
Error: Could not retrieve catalog; skipping run
Error: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read se
rver certificate B: certificate verify failed: [certificate signature failure fo
r /CN=my-master.com]

O problema é que já funcionou, mas agora não funciona. Estas etapas já tentei corrigir esse problema:

  • Sincronizou os relógios / data nos três servidores.
  • Removido tudo em /var/lib/puppet/.puppet/ssl no master
  • Removido tudo em / var / lib / puppet / ssl nos nós
  • Reiniciou o serviço mestre várias vezes.
  • O mesmo erro nos dois nós (SLES e janelas)
  • Falha na verificação do certificado de agente de marionete não resolveu o problema
por Michel 03.04.2014 / 15:12

1 resposta

0

Encontre o que cada lado considera como a autoridade de certificação ativa

  • no mestre puppet master --configprint cacert
  • no agente puppet agent --configprint cacert

Verifique se os agentes confiam na mesma autoridade de certificação que o mestre usa para assinar. Em caso de dúvida, substitua a cópia no agente. Deve então aceitar um certificado assinado recentemente.

Para uma lista limpa, você deve apenas

  1. remova todos os arquivos $(facter fqdn).pem de $ssldir no agente
  2. puppet cert clean <fqdn> no mestre

O agente deve então emitir outro CSR, e se sua cópia da CA estiver em sincronia, ele deverá finalmente aceitar o certificado.

    
por 16.04.2014 / 10:11