Puppet: Tentando configurar o cliente fantoche para o primeiro uso, mas houve alguns problemas com certificados

8

Estou tentando configurar meu clinet 'Itai-test' para receber configurações de fantoches do servidor de bonecos, chamado 'puppetmaster'.

No servidor eu corri:

[root@puppetmaster requests]# puppet cert --generate itai-test.domain
Error: A Certificate already exists for itai-test.domain
[root@puppetmaster requests]# puppet cert --sign itai-test.domain
Error: Could not find certificate request for itai-test.domain
[root@puppetmaster requests]#

No cliente fantoche, corri:

[root@itai-test temp]# puppet agent --server puppetmaster.domain --waitforcert 60 --test
Notice: Did not receive certificate
Notice: Did not receive certificate
Notice: Did not receive certificate

Mais informações: No servidor:

[root@puppetmaster ~]# puppet cert --revoke Itai-test
Error: Could not find a serial number for itai-test
[root@puppetmaster ~]# puppet cert --revoke itai-test
Error: Could not find a serial number for itai-test
[root@puppetmaster ~]# puppet cert --clean itai-test
Error: Could not find a serial number for itai-test
[root@puppetmaster ~]# puppet cert --list
[root@puppetmaster ~]# puppet cert --sign itai-test
Error: Could not find certificate request for itai-test
[root@puppetmaster ~]#

No cliente:

[root@itai-test ~]# rm -rf /usr/lib/puppet/ssl
[root@itai-test ~]# puppet agent --server puppetmaster.domain --waitforcert 60
[root@itai-test ~]# ping puppetmaster.domain
PING puppetmaster (192.168.X.X) 56(84) bytes of data.
64 bytes from puppetmaster (192.168.X.X): icmp_seq=1 ttl=64 time=0.294 ms
puppet puppetmaster Itai Ganot
fonte

Respostas:

12

Você sabe como encontrar o servidor?

root@client# ping puppet

Qual nome de certificado o cliente usará ao se conectar ao servidor?

root@client# puppet config print certname

Remova os detalhes do ssl no cliente

root@client# rm -rf /var/lib/puppet/ssl

Remova todos os rastreamentos do cliente no servidor

root@puppet# puppet node clean $client_certname
root@puppet# puppet node deactivate $client_certname
ptman
fonte
1
Obrigado por "puppet config print certname" - muito útil e eu nunca tinha visto isso antes.
Richardkmiller #
1
Obrigado. De alguma forma o certname não estava combinando com o meu nome de host, eu fixa-lo, definindo certname em puppet.conf
kqw
Os documentos foram movidos. Veja certname em puppet.conf .
Nomadic_squirrel
3

Primeiro: No servidor

puppet cert --revoke Itai-test
puppet cert --clean Itai-test

Segundo: no cliente

rm -rf /usr/lib/puppet/ssl
puppet agent --server [puppetmaster domain name] --waitforcert 60

Terceiro: no servidor

puppet cert --list (you should see your host)
puppet cert --sign Itai-test

Além disso, verifique se o seu cliente pode acessar seu [nome de domínio puppetmaster].

Mrpatrick
fonte
Editei minha pergunta com os resultados dos comandos que você mencionou, obrigado.
Itai Ganot
1

Eu acho que você saiu de sincronia de alguma forma. Supondo que isso seja realmente apenas uma instância de teste ... No servidor, execute puppet node clean itai-test.domain. Em seguida, na execução do cliente rm -rf /var/lib/puppet/ssl. Agora seu certificado SSL para o cliente se foi. Execute puppet agent --server puppetmaster.domain --waitforcert 60 --testno cliente e procure a solicitação de certificado no servidor.

Bill Weiss
fonte
Eu tive o mesmo problema que o op, e isso finalmente funcionou para mim.
slec 27/01