2 votes

CppLearner avatar

Configuration de puppetmaster : le nom d'hôte ne correspond pas au certificat du serveur.

Demandé el 13 de Juin, 2012
Quand la question a-t-elle été
6358 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis nouveau dans la configuration de Puppet et Puppetmaster... Nous avons des marionnettes déjà configurées, et un nouveau Puppetmaster...

3ème édition

Après avoir supprimé les fichiers ssl sur le maître (ghive-ldap) et le client (giab10).

Le nom d'hôte du maître est ghive-ldap et dans le nom d'hôte du client j'ai ça.

Sur le maître :

puppet cert clean ghive-ldap
puppet cert generate --dns_alt_names ghive-ldap ghive-ldap

sudo puppetca --sign giab10
err: Could not call sign: Could not find certificate request for giab10

donc sur le client :

sudo puppet cert --generate giab10
notice: giab10 has a waiting certificate request
notice: Signed certificate request for giab10
notice: Removing file Puppet::SSL::CertificateRequest giab10 at '/var/lib/puppet/ssl/ca/requests/giab10.pem'
notice: Removing file Puppet::SSL::CertificateRequest giab10 at '/var/lib/puppet/ssl/certificate_requests/giab10.pem'
giabadmin@giab10:~$ sudo puppet cert --list --all
+ giab10 (0F:CB:............)

J'ai lancé ceci sur le client

sudo puppetd --test --debug
.....
err: Could not retrieve catalog from remote server: getaddrinfo: Name or service not know

Bien... Laissez-moi essayer ça sur le client.

sudo puppet agent --server ghive-ldap --waitforcert 60 --test --verbose
err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run

Garrrrr..... J'ai supprimé les fichiers ssl et toujours pas de chance ! !! Quelque chose a dû mal se passer...

Comment puis-je commencer par le début ? La documentation ne m'a pas beaucoup aidé... Désolé d'être un noob.... Merci

PS : Par ailleurs, comment s'assurer que les deux serveurs ont l'heure synchronisée ?

Demandé el 13 de Juin, 2012 par CppLearner

Réponse

Trop de publicités?

1voto

Seth avatar
Seth Points 18568

Pour quel(s) nom(s) d'hôte le puppetmaster a-t-il généré son certificat ? Le client Puppet s'attend à ce que le certificat soit valide pour "puppetmaster", mais il ne semble pas avoir été émis pour ce nom d'hôte. Je pense que "Puppet" est peut-être le CN par défaut du puppetmaster, ou bien le nom d'hôte du serveur. Vous pouvez le vérifier en exécutant "openssl x509 -text -in cert.pem" sur le certificat du serveur, ou en vous connectant à https://yourpuppetmaster:8140/ avec un navigateur, et voyez quels domaines figurent dans le CN et les dns_alt_names du certificat.

EDITAR

Vous avez un certificat uniquement pour "master", mais votre client se connecte à "puppetmaster". Donc, soit le client doit attendre "master", soit vous avez besoin d'un certificat pour "puppetmaster" sur votre master. Un "certname=puppetmaster" dans le bloc [master] de Puppet.conf changera le CN sur le serveur ( http://docs.puppetlabs.com/references/stable/configuration.html#certname ). Vous devrez peut-être supprimer les anciens certificats, mais je n'en suis pas sûr. Vous pouvez également demander au client de se connecter à "master", soit en l'ajoutant à /etc/hosts, soit à votre zone DNS si vous en utilisez une.

Répondu el 14 de Juin, 2012 par Seth (18568 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X