Назад | Перейти на главную страницу

Зачем Puppet отозвать сертификат клиента?

Мы начали получать ошибку от одного из Puppet-агентов:

Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read finished A: sslv3 alert certificate revoked

Действительно, согласно puppet cert list $h на сервере сертификат был отозван. Почистил на мастере, удалил /var/lib/puppet/ssl на клиенте, и все было хорошо.

Я тогда побежал puppet cert list --all | grep revoked - и найдено более 20 Другой клиенты также указаны как "отозванные". Выборочно проверяя список, я обнаружил, что у марионеточного агента не было проблем ни с одним из этих других.

Мои вопросы:

  1. Что заставит Puppet «отозвать» сертификат конкретного клиента? Это определенно не было сделано администратором-человеком ...
  2. Почему такие отзывы не ломает вещи у большинства клиентов - но только у некоторых?

Использование puppet-2.7.25 на клиентах (RHEL6) и 2.7.18 на сервере (RHEL5). Спасибо!