Назад | Перейти на главную страницу

Настройка puppetmaster: имя хоста не соответствует сертификату сервера

Я новичок в настройке Puppet и Puppetmaster ... У нас уже есть настройки марионеток и новый новый Puppetmaster ...


3-е изменение

После удаления файлов ssl на главном (ghive-ldap) и клиенте (giab10)

Имя хоста для мастера ghive-ldap и в имени хоста клиента у меня это есть.

На хозяине:

puppet cert clean ghive-ldap
puppet cert generate --dns_alt_names ghive-ldap ghive-ldap


sudo puppetca --sign giab10
err: Could not call sign: Could not find certificate request for giab10

Итак, на клиенте:

sudo puppet cert --generate giab10
notice: giab10 has a waiting certificate request
notice: Signed certificate request for giab10
notice: Removing file Puppet::SSL::CertificateRequest giab10 at '/var/lib/puppet/ssl/ca/requests/giab10.pem'
notice: Removing file Puppet::SSL::CertificateRequest giab10 at '/var/lib/puppet/ssl/certificate_requests/giab10.pem'
giabadmin@giab10:~$ sudo puppet cert --list --all
+ giab10 (0F:CB:............)

Я запустил это на клиенте

sudo puppetd --test --debug
.....
err: Could not retrieve catalog from remote server: getaddrinfo: Name or service not know

Хорошо ... позвольте мне попробовать это на клиенте

sudo puppet agent --server ghive-ldap --waitforcert 60 --test --verbose
err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run

Гаррррр ..... Я удалил ssl файлы, но все равно не повезло !! Что-то пошло не так ...

Как мне начать с самого начала? Документация не особо помогла ... Простите, что я новичок .. Спасибо

PS: Кроме того, как вы убедитесь, что два сервера синхронизированы?

Для какого имени (имен) хоста марионеточный мастер сгенерировал свой сертификат? Клиент марионетки ожидает, что сертификат действителен для «puppetmaster», но, похоже, он не выдается для этого имени хоста. Я думаю, что "марионетка" может быть CN по умолчанию на марионеточном мастере или же именем хоста сервера. Вы можете проверить это, запустив "openssl x509 -text -in cert.pem" в сертификате сервера или подключившись к https://yourpuppetmaster:8140/ с помощью браузера и посмотрите, какие домены указаны в CN и dns_alt_names сертификата.


РЕДАКТИРОВАТЬ

У вас есть сертификат только для «мастера», но ваш клиент подключается к «puppetmaster». Таким образом, либо клиент должен ожидать «хозяина», либо вам нужен сертификат для «марионеточного мастера» на вашем хозяине. "Certname = puppetmaster" в блоке [master] в puppet.conf изменит CN на сервере (http://docs.puppetlabs.com/references/stable/configuration.html#certname). Возможно, вам придется удалить старые сертификаты, но я не уверен в этом. Или вы можете подключить клиента к «мастеру», добавив его в / etc / hosts или в свою зону DNS, если она у вас запущена.