Назад | Перейти на главную страницу

отпечаток марионеточного сертификата изменился до и после подписи?

У меня довольно странная проблема с конфигурацией марионетки.

На клиенте и сервере (debian-squeeze) одна и та же версия марионетки, часы синхронизированы.

Все шло отлично, пока я не решил установить puppet-dashboard, я не знаю, на каком этапе это привело к сбою, но вот симптомы:

У меня нет сертификата между клиентом и сервером; Я создаю на стороне клиента, которую отправляю на сервер с помощью этой команды:

puppetd --test --waitforcert 50

на стороне сервера:

root@puppet:/var/lib/puppet/ssl# puppetca --list --all
  dev.goeland.lan (53:C8:AE:21:F0:64:FC:B8:7C:AD:7F:7A:1C:80:B0:4C)
root@puppet:/var/lib/puppet/ssl# puppetca -s dev.goeland.lan
notice: Signed certificate request for dev.goeland.lan
notice: Removing file Puppet::SSL::CertificateRequest dev.goeland.lan at '/var/lib/puppet/ssl/ca/requests/dev.goeland.lan.pem'
root@puppet:/var/lib/puppet/ssl# puppetca --list --all
+ dev.goeland.lan (FC:1A:E5:1F:D7:A3:C4:4A:B6:1A:7F:C6:4A:6E:07:55)
root@puppet:/var/lib/puppet/ssl#

Во-первых, я не понимаю, почему меняется отпечаток пальца: до подписи сертификат имеет вид *: 4C, а он превращается в * .55. Может это правильное поведение?

Затем от клиента:

root@dev:/var/lib/puppet/ssl# puppetd --test 
warning: peer certificate won't be verified in this SSL session
info: Caching certificate for dev.goeland.lan
err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run
root@dev:/var/lib/puppet/ssl#

Клиент отказывается от сертификата сервера, хотя он был подписан на предыдущем шаге!

Может ли кто-нибудь помочь мне с этим?

Большое спасибо!

Первый отпечаток - это отпечаток запроса. Он должен соответствовать отпечатку пальца на стороне клиента, который марионетка также печатает в более поздних версиях.

После того, как puppetca подписывает запрос, он удаляет его (вы можете видеть это в выходных данных), а второй отпечаток - это отпечаток подписанного запроса.

Меняющийся отпечаток пальца не является проблема, с которой вы столкнулись. Скорее всего, часы двух машин не синхронизированы. Проверьте время на обеих машинах и установите время клиента на то, что находится в пределах минуты от мастера марионетки. И, конечно же, убедитесь, что puppet настраивает ntpd за вас.