История изменений

Время на сервере правильное?

Мне кажется надо внимательно пройтись по цепочке сертификатов и всё выяснится. Причём проверить что это именно та цепочка, которой пользуется сервер. Я не имел дела с puppet, но из общих соображений:

1) Проверить не закешировал ли сервер старое просроченное CA. Проверяется ребутом той проги которая слушает 8140 порт куда ты коннектился. А да, между выключением и включением проги проверь что коннектишься ты именно к ней (сделай коннект и проверь что connection refused).

2) Посмотреть, откуда сервер берёт список доверенных CA. Проверяется удалением оттуда нужного root CA и наблюдением как сервер вместо expired станет писать unable to find local issuer или чё-то такое. Возможно ребутнуть демон будет т.к. см. п.1

3) Берёшь /var/lib/puppet/ssl/certs/srv.pem смотришь у него поле issuer, ищешь сертификат у которого эта строчка в subject, проверяешь срок действия, и дальше пока не дойдёшь до рута.

Время на сервере правильное?

Мне кажется надо внимательно пройтись по цепочке сертификатов и всё выяснится. Причём проверить что это именно та цепочка, которой пользуется сервер. Я не имел дела с puppet, но из общих соображений:

1) Проверить не закешировал ли сервер старое просроченное CA. Проверяется ребутом той проги которая слушает 8140 порт куда ты коннектился.

2) Посмотреть, откуда сервер берёт список доверенных CA. Проверяется удалением оттуда нужного root CA и наблюдением как сервер вместо expired станет писать unable to find local issuer или чё-то такое. Возможно ребутнуть демон будет т.к. см. п.1

3) Берёшь /var/lib/puppet/ssl/certs/srv.pem смотришь у него поле issuer, ищешь сертификат у которого эта строчка в subject, проверяешь срок действия, и дальше пока не дойдёшь до рута.