Estoy tratando de copiar una corriente de Puppet Master server en un dominio y moverlo a otro. Im hallazgo de que su muy duro para tratar de cambiar toda la configuración de la remanencia. Hay una manera fácil de hacer esto, o un paso a paso de la mejor práctica? He grepped la mayoría de los viejos nombre fqdn y cambiado a la nueva, sin embargo, cuando voy a borrar todos los certificados, y re-emitir nuevos en el maestro, quiere seguir tirando de un cert para el viejo FQDN.

Edit 1: me han resuelto muchos de los problemas que anteriormente estaba recibiendo. Sin embargo no puedo superar este problema SSL para la vida de mí.

[[email protected] lib]# puppet resource service apache2 ensure=running
Error: Could not run: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get local issuer certificate for /CN=puppet.foundry.test]

He intentado purgar completamente todos los certs del maestro, mediante este enlace, y luego regenerar todos. Pero todavía me sigue apareciendo el mismo error:

Error: Could not run: SSL_connect SYSCALL returned=5 errno=0 state=SSLv3 read finished A

Ahora no estoy seguro de si estoy teniendo títere SSL problemas, o SSL problemas en general.

  • Trate de puppet resource --configprint all | grep <wrong cert fqdn>. ¿Que devolver nada?
InformationsquelleAutor tek0011 | 2014-10-24

4 Comentarios

  1. 4

    Más probable es que usted va a conectar a un servidor erróneo (el valor predeterminado es nombre de host puppet).

    Comprobar su agente de configuración, usted está más interesado en server variable

    puppet config print --section agent | grep "server = "
    

    También es bueno saber donde se puppet agent buscando su configuración:

    $ puppet config print --section agent | grep "^config = "
    config = /etc/puppetlabs/puppet/puppet.conf
    

    Editar su configuración, establezca la correcta puppet master:

    [agent]
    server=puppet4.example.com
    

    Sólo para asegurarse, usted puede limpiar su cerfificate (agente):

    find /etc/puppetlabs/puppet/ssl -name $(hostname -f).pem -delete
    

    de títeres servidor:

    puppet cert clean {broken hostname}
    

    Y, finalmente, ejecutar puppet agent -t

  2. 3
    1. Usted puede utilizar este enlace: http://bitcube.co.uk/content/puppet-errors-explained
    2. Hizo intenta cambiar el puppet master dns?
    3. Trata de ver si el puppet master cert es el mismo como lo que está escrito en el server en el nodo.
      Si no siempre puedes usar dns_alt_names = puppet_hostname.tu_dominio y todos los nombres que desee para el puppet master & CA.

    A continuación, pruebe a reiniciar el puppet master, servicio de limpiar el esclavo certname del maestro, quitar todos los /var/lib/puppet/ssl/ carpeta desde el esclavo, y ejecutar títere de nuevo.

    • Gracias! Esto funcionó para mí. Yo estaba recibiendo este error: Warning: SSL_connect SYSCALL returned=5 errno=0 state=unknown state y corrió sudo rm -r /etc/puppetlabs/puppet/ssl/*
    • tengo este problema después de reiniciar el puppetserver mientras que el agente estaba trabajando… yo no sé cómo es relativa, pero la generación de un nuevo certificado de hecho ayuda…
  3. 1

    Lo de la marioneta no les está diciendo es que hay un cert de desajuste. El maestro se desconecta tan pronto como se determina que el certificado no es válido o un desajuste. Debido a que la desconexión es tan repentino, títeres no dijo por qué sucede.

    Cuando esto sucede títere podría cambiar, por ejemplo, que el mensaje de error, «Hey! Aquí está una lista de cosas que usted puede comprobar.» y, a continuación, sugieren cosas como verificar el cert fecha de caducidad, cert desajuste, etc. Sin embargo, ¿por qué iba alguien a hacer eso?

    Aquí está una manera de llegar a esta situación: Conjunto de dos títeres equipos cliente con el mismo nombre por error. La segunda máquina a utilizar ese nombre va a funcionar, pero la primera máquina dejará de funcionar.

    Cómo puede alguien entrar en esa situación? Dos máquinas no pueden tener el mismo nombre! Por supuesto que no. Pero hemos visto situaciones como esta:

    • De la máquina a, B, C, D, E son todos Títeres clientes.
    • Máquina C es eliminado y se vuelve a cargar. El técnico accidentalmente llama «B». Para conseguir que el trabajo con Títeres, que «títere cert limpio B».
    • El técnico da cuenta de su error y vuelve a configurar la máquina C con el nombre propio, realiza «títere cert limpio C», y la máquina C ahora funciona bien.
    • Una semana más tarde, alguien se da cuenta de que la máquina B, no ha sido capaz de hablar con el maestro. Se obtiene este mensaje de error. Después de horas de depuración que ver que el cliente cert cuenta con un número de serie, pero el maestro espera que el cliente tenga una muy diferente número de serie. La máquina B del cert se limpia, regenera, etc. y todo lo que sigue.

    Debe Títere de los Laboratorios de actualizar el mensaje de error a la sugerencia de que ese puede ser el problema? Se podría, pero entonces no me rep puntos para la escritura de este impresionante respuesta. Además, los técnicos nunca debe cometer un error, así que ¿por qué manejar un caso que, obviamente, no debe ocurrir nunca… excepto cuando lo hace.

  4. 0

    Asegúrese de que está ejecutando la marioneta como root o con sudo. He recibido este error exacto cuando yo era mi usuario normal y corrió «títere agente -t» sin elevar mis privilegios.

Dejar respuesta

Please enter your comment!
Please enter your name here