я использую мастер для загрузки RedHat 6.0 через ipxe (но это не имеет значения;)
Параметры ядра, используемые для загрузки:
kernel http://192.168.1.5/dist/rhel/6.0/os/x86_64/images/pxeboot/vmlinuz ks=https://puppet.at.internal/unattended/provision ksdevice=bootif network kssendmac
Когда anaconda пытается загрузить файл KS, он выдает такую ошибку:
Ошибка загрузки https: //puppet.at.internal/unattended/provision: Проблема с сертификатом SSL CA (путь? Права доступа?)
К сожалению, Google так же полезен, как и документы Redhat - нет информации о том, как отключить проверку SSL :( Поскольку я использую at.internal в качестве домена, я также не могу получить официальный сертификат, но из-за ограничений компании я должен использовать https. ..
Было бы также хорошо, если бы можно было добавить CA (или certfile) в качестве bootcmd.
Заранее спасибо за вашу помощь!
Используйте опцию анаконды noverifyssl отключить проверку сертификата SSL
После того, как я наткнулся на это, похоже, что параметр конфигурации для отключения проверки ssl был переименован в
md.noverifyssl
Видеть http://man7.org/linux/man-pages/man7/dracut.cmdline.7.html
Насколько я обнаружил, тестирование с CentOS 7 и файлом кикстарта, размещенным на неверно сертифицированном URL-адресе SSL, noverifyssl не может быть указано, где вы пытались, в строке ядра.
noverifyssl является флагом Anaconda, но Anaconda не анализирует эту команду, а initrd.img - делает.
Я попробовал следующие тесты:
.. будет указывать эту строку, так как она оставалась неизменной во всех тестах
vmlinuz initrd=initrd.img inst.stage2=[auto-populated stage 2 path]
.. ks=https://my.badly.certd-url.com/dummy/url.ks noverifyssl
Результат: ошибка curl из-за небезопасного сертификата CA, флаг проигнорирован
.. ks=https://my.badly.certd-url.com/dummy/url.ks --noverifyssl
Результат: ошибка curl из-за небезопасного сертификата CA, флаг проигнорирован
.. ks="https://my.badly.certd-url.com/dummy/url.ks -k"
Я попробовал это, чтобы увидеть, смогу ли я пройти -k флаг для завивки, разрешающий небезопасное соединение. Результат: ошибка curl, не удалось разобрать из-за кавычек
.. ks=https://my.badly.certd-url.com/dummy/url.ks\ -k
Я попробовал это, чтобы увидеть, смогу ли я пройти -k флаг для завивки, разрешающий небезопасное соединение. Результат: ошибка curl из-за небезопасного сертификата CA, флаг проигнорирован
После ошибки, когда мой процесс установки был сброшен в аварийную оболочку dracut, я выполнил
> curl -k https://my.badly.certd-url.com/dummy/url.ks
и он вернул мой .ks файл.
Я решил эту проблему для себя, полностью избегая ее и повторно разместив свой скрипт на другом сервере с соответствующими сертификатами. Я использовал репозиторий github и указал на необработанный URL для .ks файл.
Убедитесь, что у вас есть сертификаты CA, чтобы приложения на основе SSL могли проверять подлинность соединений SSL. Их можно установить:
sudo apt-get install ca-certificates openssl
Если он у вас есть, подумайте о его переустановке
Связанный: