Mam skonfigurowanego Puppet Master / Agent i pomyślnie podpisałem certyfikat agenta na master. Jednak po uruchomieniu puppet agent --testpojawia się błąd, który wygląda następująco:
Warning: Unable to fetch my node definition, but the agent run will continue:
Warning: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Info: Retrieving plugin
Error: /File[/var/lib/puppet/lib]: Failed to generate additional resources using 'eval_generate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: /File[/var/lib/puppet/lib]: Could not evaluate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com] Could not retrieve file metadata for puppet://hostname.domain.com/plugins: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Warning: Not using cache on failed catalog
Error: Could not retrieve catalog; skipping run
Error: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
hostname.domain.comjest panem
Jak to naprawić? Upewniłem się, że oba zegary są we właściwym czasie w tej samej strefie czasowej, usunąłem wszystko z /var/lib/puppet/sslkatalogu agenta i zrezygnowałem, nie wiem, co jeszcze zrobić.
Wydaje się, że twój mistrz używa innego certyfikatu niż klient ufa? Czy certyfikat kapitana zmienił się?
—
Shane Madden
@ShaneMadden Nie sądzę, więc ... czy powinienem czyścić i odwoływać certyfikaty master i klientów? W ogóle nie pomieszałem z certyfikatami magisterskimi, ale oto, jak wygląda wynik „listy marionetkowych certyfikatów - wszystkie”: + „masterhost.domain.com” (SHA1) E1: F7: 6A: 21: CB: CD: xx: xx: xx: xx ... + „agenthost.domain.com” (SHA256) 5A: D9: 7B: 96: 0B: FF: E4: 87: 58: AF: 00: xx: xx: xx : xx ..
—
John Smith,
I to
—
Shane Madden,
masterhost.domain.comjest to samo, co hostname.domain.comw twoim pytaniu, prawda? Spróbujmy tego, zobaczymy, czy certyfikaty weryfikują się ręcznie; uruchom openssl s_client -connect masterhost.domain.com:8140 -showcertsi skopiuj dane certyfikatu (zaczyna się od -----BEGIN CERTIFICATE-----, dołącz tę linię i końcową linię certyfikatu) do nowego pliku, a następnie uruchom openssl verify -CAfile /var/lib/puppet/ssl/certs/ca.pem /path/to/file/from/last/commandi sprawdź, czy to zweryfikuje.
@ShaneMadden Wygląda na to, że coś jest nie tak… Po uruchomieniu polecenia „-showcerts” dałem mi dwa certyfikaty „start” i „end”, więc najpierw spróbowałem dodać jeden z nich do nowego pliku i this: / var / lib / puppet / ssl / ca / test: /CN=masterhost.domain.com błąd 7 w 0 głębokie wyszukiwanie: błąd podpisu certyfikatu 22297: błąd: 0407006A: procedury rsa: RSA_padding_check_PKCS1_type_1: typ bloku nie jest 01: rsa_pk1.c: 100: 22297: error: 04067072: procedury RSA: RSA_EAY_PUBLIC_DECRYPT: Sprawdź wyściółka failed: rsa_eay.c: 697: 22297: error: 0D0C5006: ASN1 kodowania rutyny: ASN1_item_verify: EVP lib: a_verify.c: 173:
—
John Smith
To jest dziwne. Wygląda na to, że wysyła główny certyfikat oprócz certyfikatu serwera w połączeniu, więc może po prostu porównaj zawartość drugiego certyfikatu
—
Shane Madden
-showcertsz zawartością /var/lib/puppet/ssl/certs/ca.pem- powinny być identyczne?