Puppet

0

1

Доброй ночи!

Вроде ничего сложного не должно быть, но застопорился на настройка puppet-а. Делал по этом хав-ту http://habrahabr.ru/blogs/linux/68532/

Все было тип-топ...но Выполняю комманду:

sudo puppetd --verbose --test

Все вроде норм. Хост отправил сертификат на подпись. А я его потом подписал на сервере коммандой:

sudo --sign exampleof_certificate

Тоже все ок прошло. Снова делаю

sudo puppetd --verbose --test

Вылазит такое

err: Could not retrieve catalog from remote server: hostname was not match with the server certificate                                                          
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run
err: Could not send report: hostname was not match with the server certificate
root@crunchbang:/etc/ssl#

На сервере удаляю все подписанные сертификаты:

sudo puppetca revoke:all

Пробую опять

sudo puppetd --verbose --test

но сообщения то самое появляется.

Вопрос: как почистить все на хост-системе?

Ссылка

←	Проблемы с пакетами apt

внешний прокси на tinyproxy

→

>err: Could not retrieve catalog from remote server: hostname was not match with the server certificate

У вас глаза в каком именно месте?
-------
ОЧЕНЬ ВАЖНО, чтобы имя сервера было в точности таким, каким подписывает сертификаты управляющий сервер. Проверить имя сервера в сертификатах можно с помощью openssl:

openssl s_client -showcerts -connect r2d2.localdomain:8140
-------

~~zgen~~ ★★★★★
(17.09.11 04:19:36 MSK)

Ответ на: комментарий от zgen 17.09.11 04:19:36 MSK

ну так я ж пишу что удаляю сертификаты на сервере:

root@probook:/# puppetca revoke : all
notice: Revoked certificate with serial # Inventory of signed certificates
# SERIAL NOT_BEFORE NOT_AFTER SUBJECT                                           
0x0001 2011-09-16T00:15:27GMT 2016-09-14T00:15:27GMT /CN=Puppet CA: probook.kiev-dev                                                                            
0x0002 2011-09-16T00:16:18GMT 2016-09-14T00:16:18GMT /CN=probook.kiev-dev       
                                                                                
err: Could not call revoke: Cannot convert into OpenSSL::BN
root@probook:/#

Вылазит ошибка, на которую я не могу ничего толкового нагуглить.

В данный момент на уделеннем хосту:

root@crunchbang:/etc/puppet# puppetd --verbose --test
err: Could not request certificate: Connection refused - connect(2)
Exiting; failed to retrieve certificate and waitforcert is disabled
root@crunchbang:/etc/puppet#

Вся соль в ошибке

err: Could not call revoke: Cannot convert into OpenSSL::BN

ipeacocks ★★★★★
(17.09.11 04:37:55 MSK) автор топика

Ответ на: комментарий от ipeacocks 17.09.11 04:37:55 MSK

Вы не в состоянии сгенерить пару ключ/сертификат с правильным 'host' самостоятельно? Не в состоянии удалить сертификаты руками тоже?

Так и пишите.

«The workaround I found for this is to do the following manually: on the puppet server: rm -f /var/lib/puppet/ssl/private_keys/HOSTNAME.hq.eso.org.pem /var/lib/puppet/ssl/ca/signed/HOSTNAME.hq.eso.org.pem /var/lib/puppet/ssl/certs/HOSTNAME.hq.eso.org.pem

On the puppet client: rm -rf /var/lib/puppet/ssl/*»

~~zgen~~ ★★★★★
(17.09.11 04:53:58 MSK)

Ответ на: комментарий от zgen 17.09.11 04:53:58 MSK

супер, я это видел, но не ремовнул на клиенте. спасибо

ipeacocks ★★★★★
(17.09.11 05:05:23 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 17.09.11 04:53:58 MSK

Хотя нет, тоже.

Клиент:

root@crunchbang:/etc/puppet# puppetd --verbose --test
info: Creating a new SSL key for crunchbang.kiev-dev
err: Could not request certificate: Connection refused - connect(2)
Exiting; failed to retrieve certificate and waitforcert is disabled
root@crunchbang:/etc/puppet#

Сервер:

puppetca --revoke : all
notice: Revoked certificate with serial # Inventory of signed certificates
# SERIAL NOT_BEFORE NOT_AFTER SUBJECT                                           
0x0001 2011-09-16T00:15:27GMT 2016-09-14T00:15:27GMT /CN=Puppet CA: probook.kiev-dev                                                                            
0x0002 2011-09-16T00:16:18GMT 2016-09-14T00:16:18GMT /CN=probook.kiev-dev       
0x0003 2011-09-16T00:48:52GMT 2016-09-14T00:48:52GMT /CN=probook.kiev-dev       
0x0004 2011-09-16T01:09:36GMT 2016-09-14T01:09:36GMT /CN=probook.kiev-dev       
                                                                                
err: Could not call revoke: Cannot convert into OpenSSL::BN

ipeacocks ★★★★★
(17.09.11 05:13:26 MSK) автор топика

Ответ на: комментарий от ipeacocks 17.09.11 05:13:26 MSK

Заладили свое, revoke, revoke.

Нафига вы это запускаете?

~~zgen~~ ★★★★★
(17.09.11 07:52:32 MSK)

Ответ на: комментарий от zgen 17.09.11 07:52:32 MSK

а что вы хотите больше запускать?

ipeacocks ★★★★★
(17.09.11 09:05:17 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 17.09.11 07:52:32 MSK

а как же, если при тестовом запуске клиент уже не хочет слать сертификат?

ipeacocks ★★★★★
(17.09.11 09:19:31 MSK) автор топика

Ответ на: комментарий от ipeacocks 17.09.11 09:19:31 MSK

Сгенерить руками (см. openssl) для сервера и клиента, положить в нужное место. Проверить.

~~zgen~~ ★★★★★
(17.09.11 09:54:38 MSK)

Ответ на: комментарий от zgen 17.09.11 09:54:38 MSK

Хорошо, теоретически возможно сгенерить для клиента, но как его подписать данніми сервера?

ipeacocks ★★★★★
(17.09.11 09:58:16 MSK) автор топика

Ответ на: комментарий от ipeacocks 17.09.11 09:58:16 MSK

1) найти ключ ca и подписать.
2) сгенерить свой ca, подписать им и положить в нужное место на клиенте и сервере.

~~zgen~~ ★★★★★
(17.09.11 10:01:09 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблемы с пакетами apt

Admin

внешний прокси на tinyproxy

→

Похожие темы