LINUX.ORG.RU
ФорумAdmin

Puppet


0

1

Доброй ночи!

Вроде ничего сложного не должно быть, но застопорился на настройка puppet-а. Делал по этом хав-ту http://habrahabr.ru/blogs/linux/68532/

Все было тип-топ...но Выполняю комманду:

sudo puppetd --verbose --test

Все вроде норм. Хост отправил сертификат на подпись. А я его потом подписал на сервере коммандой:

sudo --sign exampleof_certificate

Тоже все ок прошло. Снова делаю

sudo puppetd --verbose --test

Вылазит такое

err: Could not retrieve catalog from remote server: hostname was not match with the server certificate                                                          
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run
err: Could not send report: hostname was not match with the server certificate
root@crunchbang:/etc/ssl# 

На сервере удаляю все подписанные сертификаты:

sudo puppetca revoke:all

Пробую опять

sudo puppetd --verbose --test
но сообщения то самое появляется.

Вопрос: как почистить все на хост-системе?

★★★★★

>err: Could not retrieve catalog from remote server: hostname was not match with the server certificate

У вас глаза в каком именно месте?
-------
ОЧЕНЬ ВАЖНО, чтобы имя сервера было в точности таким, каким подписывает сертификаты управляющий сервер. Проверить имя сервера в сертификатах можно с помощью openssl:

openssl s_client -showcerts -connect r2d2.localdomain:8140
-------

zgen ★★★★★ ()
Ответ на: комментарий от zgen

ну так я ж пишу что удаляю сертификаты на сервере:

root@probook:/# puppetca revoke : all
notice: Revoked certificate with serial # Inventory of signed certificates
# SERIAL NOT_BEFORE NOT_AFTER SUBJECT                                           
0x0001 2011-09-16T00:15:27GMT 2016-09-14T00:15:27GMT /CN=Puppet CA: probook.kiev-dev                                                                            
0x0002 2011-09-16T00:16:18GMT 2016-09-14T00:16:18GMT /CN=probook.kiev-dev       
                                                                                
err: Could not call revoke: Cannot convert into OpenSSL::BN
root@probook:/# 

Вылазит ошибка, на которую я не могу ничего толкового нагуглить.

В данный момент на уделеннем хосту:

root@crunchbang:/etc/puppet# puppetd --verbose --test
err: Could not request certificate: Connection refused - connect(2)
Exiting; failed to retrieve certificate and waitforcert is disabled
root@crunchbang:/etc/puppet# 

Вся соль в ошибке

err: Could not call revoke: Cannot convert into OpenSSL::BN

ipeacocks ★★★★★ ()
Ответ на: комментарий от ipeacocks

Вы не в состоянии сгенерить пару ключ/сертификат с правильным 'host' самостоятельно? Не в состоянии удалить сертификаты руками тоже?

Так и пишите.

«The workaround I found for this is to do the following manually: on the puppet server: rm -f /var/lib/puppet/ssl/private_keys/HOSTNAME.hq.eso.org.pem /var/lib/puppet/ssl/ca/signed/HOSTNAME.hq.eso.org.pem /var/lib/puppet/ssl/certs/HOSTNAME.hq.eso.org.pem

On the puppet client: rm -rf /var/lib/puppet/ssl/*»

zgen ★★★★★ ()
Ответ на: комментарий от zgen

супер, я это видел, но не ремовнул на клиенте. спасибо

ipeacocks ★★★★★ ()
Ответ на: комментарий от zgen

Хотя нет, тоже.

Клиент:

root@crunchbang:/etc/puppet# puppetd --verbose --test
info: Creating a new SSL key for crunchbang.kiev-dev
err: Could not request certificate: Connection refused - connect(2)
Exiting; failed to retrieve certificate and waitforcert is disabled
root@crunchbang:/etc/puppet# 

Сервер:

puppetca --revoke : all
notice: Revoked certificate with serial # Inventory of signed certificates
# SERIAL NOT_BEFORE NOT_AFTER SUBJECT                                           
0x0001 2011-09-16T00:15:27GMT 2016-09-14T00:15:27GMT /CN=Puppet CA: probook.kiev-dev                                                                            
0x0002 2011-09-16T00:16:18GMT 2016-09-14T00:16:18GMT /CN=probook.kiev-dev       
0x0003 2011-09-16T00:48:52GMT 2016-09-14T00:48:52GMT /CN=probook.kiev-dev       
0x0004 2011-09-16T01:09:36GMT 2016-09-14T01:09:36GMT /CN=probook.kiev-dev       
                                                                                
err: Could not call revoke: Cannot convert into OpenSSL::BN
ipeacocks ★★★★★ ()
Ответ на: комментарий от ipeacocks

1) найти ключ ca и подписать.
2) сгенерить свой ca, подписать им и положить в нужное место на клиенте и сервере.

zgen ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.