Puppet: Der Versuch, den Puppet-Client für die erste Verwendung zu konfigurieren, hat jedoch einige Probleme mit Zertifikaten

8

Ich versuche, meine Klinik 'Itai-Test' so zu konfigurieren, dass sie Puppeneinstellungen vom Puppen-Server erhält, der 'Puppenmeister' heißt.

Auf dem Server lief ich:

[root@puppetmaster requests]# puppet cert --generate itai-test.domain
Error: A Certificate already exists for itai-test.domain
[root@puppetmaster requests]# puppet cert --sign itai-test.domain
Error: Could not find certificate request for itai-test.domain
[root@puppetmaster requests]#

Auf dem Puppen-Client lief ich:

[root@itai-test temp]# puppet agent --server puppetmaster.domain --waitforcert 60 --test
Notice: Did not receive certificate
Notice: Did not receive certificate
Notice: Did not receive certificate

Weitere Informationen: Auf dem Server:

[root@puppetmaster ~]# puppet cert --revoke Itai-test
Error: Could not find a serial number for itai-test
[root@puppetmaster ~]# puppet cert --revoke itai-test
Error: Could not find a serial number for itai-test
[root@puppetmaster ~]# puppet cert --clean itai-test
Error: Could not find a serial number for itai-test
[root@puppetmaster ~]# puppet cert --list
[root@puppetmaster ~]# puppet cert --sign itai-test
Error: Could not find certificate request for itai-test
[root@puppetmaster ~]#

Auf Client:

[root@itai-test ~]# rm -rf /usr/lib/puppet/ssl
[root@itai-test ~]# puppet agent --server puppetmaster.domain --waitforcert 60
[root@itai-test ~]# ping puppetmaster.domain
PING puppetmaster (192.168.X.X) 56(84) bytes of data.
64 bytes from puppetmaster (192.168.X.X): icmp_seq=1 ttl=64 time=0.294 ms
puppet puppetmaster Itai Ganot
quelle

Antworten:

12

Weiß Ihr Client, wie er den Server findet?

root@client# ping puppet

Welchen Zertifikatsnamen verwendet der Client beim Herstellen einer Verbindung zum Server?

root@client# puppet config print certname

Entfernen Sie die SSL-Details auf dem Client

root@client# rm -rf /var/lib/puppet/ssl

Entfernen Sie alle Spuren des Clients auf dem Server

root@puppet# puppet node clean $client_certname
root@puppet# puppet node deactivate $client_certname
ptman
quelle
1
Vielen Dank für "Puppet Config Print Certname" - sehr nützlich und ich hatte das noch nie gesehen.
Richard kmiller
1
Vielen Dank. Irgendwie stimmte der Zertifikatsname nicht mit meinem Hostnamen überein.
kqw
Dokumente sind umgezogen. Siehe stattdessen certname in puppet.conf .
nomadic_squirrel
3

Erstens: Auf dem Server

puppet cert --revoke Itai-test
puppet cert --clean Itai-test

Zweitens: Auf dem Client

rm -rf /usr/lib/puppet/ssl
puppet agent --server [puppetmaster domain name] --waitforcert 60

Drittens: Auf dem Server

puppet cert --list (you should see your host)
puppet cert --sign Itai-test

Überprüfen Sie außerdem, ob Ihr Kunde Ihren [Puppetmaster-Domainnamen] erreichen kann.

mrpatrick
quelle
Ich habe meine Frage mit den Ergebnissen der von Ihnen erwähnten Befehle bearbeitet, danke.
Itai Ganot
1

Ich denke, du bist irgendwie nicht mehr synchron. Angenommen, dies ist wirklich nur eine Testinstanz ... Führen Sie auf dem Server aus puppet node clean itai-test.domain. Dann auf dem Client ausführen rm -rf /var/lib/puppet/ssl. Jetzt ist Ihr SSL-Zertifikat für den Client weg. Führen Sie es puppet agent --server puppetmaster.domain --waitforcert 60 --testauf dem Client aus und suchen Sie auf dem Server nach der Zertifikatanforderung.

Bill Weiss
quelle
Ich hatte das gleiche Problem wie die Operation, und das funktionierte schließlich für mich.
Slec