Назад | Перейти на главную страницу

«Невозможно получить сертификат местного эмитента» в шеф-поваре при использовании ножевого загрузчика с аутентификацией домена Windows

У меня есть рабочая установка шеф-повара с открытым исходным кодом, и я пытаюсь добавить аутентификацию домена для начальной загрузки серверов Windows.

Я создал прослушиватель HTTPS, как описано в knife windows документация. Я использовал сертификат домена для этого узла в качестве шестнадцатеричного значения.

Когда я пытаюсь запустить следующую команду:

knife bootstrap windows winrm #myip# -r 'role[#myrole#]' -x #MYDOMAIN#\\#myuser# -P '#mypass#' -p 5986 -VV

Я получаю следующую ошибку:

Waiting for remote response before bootstrap.
DEBUG: Adding #myip#
DEBUG: :session => :init
DEBUG: :relay_to_servers => echo . & echo Response received.
DEBUG: :relayed => #myip#
DEBUG: #myip# => :run_command
at depth 1 - 20: unable to get local issuer certificate

Поскольку сертификат домена, который я использовал для шестнадцатеричного значения, был сертификатом, выданным Rackspace, я решил, что, возможно, он не был зарегистрирован как доверенный на сервере шеф-повара или рабочей станции шеф-повара. Я добавил сертификаты в /usr/local/share/ca-certificates/ и побежал sudo update-ca-certificates как на сервере шеф-повара, так и на рабочей станции. Я также добавил сертификаты в .pem форматировать /opt/chef-server/embedded/ssl/certs и /etc/chef/trusted_certs на сервере Chef и / opt / chef / embedded / ssl / certs на рабочей станции Chef.

Либо моя оценка проблемы была неверной, либо я неправильно перенастроил сертификаты - в любом случае я потерялся.

Согласно поддержке Chef, мне нужно было использовать порт 5985 как для слушателя, так и для команды начальной загрузки chef, выполнив команду:

knife bootstrap windows winrm #myip# -r 'role[#myrole#]' -x #MYDOMAIN#\\#myuser# -P '#mypass#' -p 5985

Затем мне нужно было установить новую (предварительную версию) жемчужину winrm-s через:

gem install winrm-s --pre
gem uninstall winrm-s --version '= 0.2.0'

Затем мне нужно было установить последнюю предварительную версию knife-windows через opscode github.

Как только все это было завершено, я смог загрузить серверы Windows с любой рабочей станции Windows Chef через аутентификацию домена.