3 votes

srepetsk avatar

Marionnette incapable d'envoyer des faits à Foreman - "alerte tlsv1 ca inconnu"

Demandé el 21 de Mai, 2015
Quand la question a-t-elle été
2716 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

J'ai récemment mis à jour Katello vers 2.2 et Foreman maintenant vers 1.8.1, il semble donc qu'à un moment de la mise à jour, Puppet ne peut plus contacter Foreman :

> [root@virt5 ~]# puppet agent --test info: 
> Récupération du plugin 
> err: Impossible de récupérer le catalogue depuis le serveur distant: Erreur 400 sur
> LE SERVEUR: Lors de la recherche du nœud virt5:Échec de la recherche virt5.
> via exec: L'exécution de '/etc/puppet/node.rb virt5' a retourné 1:
> avertissement: Pas d'utilisation du cache pour le catalogue échoué err: Impossible de récupérer
> le catalogue ; saut de l'exécution

Lorsque j'exécute la même commande sur mon puppetmaster, je vois :

[root@foreman certs]# /etc/puppet/node.rb virt5

Impossible d'envoyer les faits à Foreman : SSL_connect a retourné 1 errno=0 état=SSLv3 read server session ticket A: tlsv1 alert unknown ca

J'ai essayé de copier le certificat /etc/pki/katello/certs/katello-default-ca.crt utilisé par httpd vers /etc/pki/ca-trust/source/anchors/ puis j'ai exécuté update-ca-trust extract, mais cela ne semble pas avoir fait de différence.

Je suis sûr de passer à côté de quelque chose de bête, je ne suis tout simplement pas sûr de ce que cela pourrait être.

Demandé el 21 de Mai, 2015 par srepetsk

Réponse

Trop de publicités?

0voto

eLobato avatar
eLobato Points 281

Une erreur que je vois ici (qui devrait être plus claire dans la documentation) est que vous croyez que Katello utilise les certificats Puppet comme Foreman, mais ce n'est pas le cas.

Sur l'hôte Foreman/Katello, exécutez :

capsule-certs-generate --capsule-fqdn "mycapsule.example.com"\ 
                       --certs-tar "~/mycapsule.example.com-certs.tar"

Où mycapsule.example.com est votre autre maître Puppet.

Extrayez cette archive tar et copiez le RPM de certificat "puppet-client" vers votre maître Puppet, et installez-le.

Copiez quelques fichiers :

cp /etc/pki/katello-certs-tools/certs/*-puppet-client.crt /etc/puppet/foreman.crt
cp /etc/pki/katello-certs-tools/private/*-puppet-client.key /etc/puppet/foreman.key
cd /etc/puppet
wget https://katello.mydomain.net/pub/katello-default-ca.crt
chown puppet /etc/puppet/foreman.{crt,key} /etc/puppet/katello*

Configurez votre /etc/puppet/foreman.yaml comme ceci :

:url: "https://katello.mydomain.net"
:ssl_ca: "/etc/puppet/katello-default-ca.crt"
:ssl_cert: "/etc/puppet/foreman.crt"
:ssl_key: "/etc/puppet/foreman.key"

Cela devrait, espérons-le, fonctionner.

Répondu el 22 de Mai, 2015 par eLobato (281 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X