LINUX.ORG.RU
решено ФорумAdmin

puppet клиент не генерит csr


0

1

Уже несколько часов пытаюсь понять почему не генерится csr. Пара ключей генерится, а csr - нет. Выдает нижеследущее:

root@tahmasib:/var/lib/puppet#  puppetd --verbose --test --server puppetmaster.dmz
info: Creating a new SSL key for tahmasib<my_domain>
warning: peer certificate won't be verified in this SSL session
err: Could not request certificate: Error 400 on SERVER: <html>
<head><title>400 No required SSL certificate was sent</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<center>No required SSL certificate was sent</center>
<hr><center>nginx/0.7.67</center>
</body>
</html>
root@tahmasib:/var/lib/puppet/ssl/certificate_requests# ls -la /var/lib/puppet/ssl/certificate_requests/
total 8
drwxr-xr-x 2 puppet root 4096 Feb 24 12:47 .
drwxrwx--x 7 puppet root 4096 Feb 24 12:47 ..

Пробовал на debian 6 и на wheezy - один черт. Подозреваю дистропроблему, но баг постить пока рановато имхо. Создается ощущение, что я чего-то про debian не знаю.

★★★★

И что непонятно? Ты недонастроил веб-сервер, и он отдаёт http/400 вместо сертификата.

anonymous ()
Ответ на: комментарий от anonymous

Хотя, я точно не знаю что он имеет в виду под «peer certificate». Если это таки веб-сервер, посмотри чтобы он мог читать свой сертификат + ключ к нему и чтобы клиент доверял твоему CA. Это навскидку, гуглить лень.

anonymous ()
Ответ на: комментарий от anonymous

Веб сервер не причем. Там модель следующая:

1. Клиент генерит rsa ключи. 2. Клиент генерит csr. 3. Клиент отдаёт мастеру csr. 4. Клиент ждет когда ему подпишут и вернут. 5. Клиент коннектится с новым сертификатом к серверу.

Фича в том, что эта упырка игнорирует второй пункт, а без него 3,4 и 5 не заработают. А ошибка 400 - это выхлоп уже 5го пункта, если я все правильно понимаю.

zloelamo ★★★★ ()
Ответ на: комментарий от anonymous

Спасибо, это я видел. Не помогло. Я не понимаю что-то глобальное, по всей видимости, но что, блин. Возможно приведенный мною алгоритм не корректен.

zloelamo ★★★★ ()
Ответ на: комментарий от anonymous

Хе-хе. Нашел, сцуко. Анон был прав - дело в аутентификации - она должна быть включена как опциональная, а она какого-то включена, как обязательная :(

zloelamo ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.