ฉันมี Puppet Master / Agent ตั้งค่าและลงนามใบรับรองสำหรับตัวแทนบน master เรียบร้อยแล้ว อย่างไรก็ตามเมื่อฉันเรียกใช้puppet agent --testฉันพบความล้มเหลวที่มีลักษณะเช่นนี้:
Warning: Unable to fetch my node definition, but the agent run will continue:
Warning: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Info: Retrieving plugin
Error: /File[/var/lib/puppet/lib]: Failed to generate additional resources using 'eval_generate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: /File[/var/lib/puppet/lib]: Could not evaluate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com] Could not retrieve file metadata for puppet://hostname.domain.com/plugins: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Warning: Not using cache on failed catalog
Error: Could not retrieve catalog; skipping run
Error: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
hostname.domain.comเป็นหลัก
ฉันจะแก้ไขสิ่งนี้ได้อย่างไร ฉันทำให้แน่ใจว่านาฬิกาทั้งสองอยู่ในเวลาที่ถูกต้องในเขตเวลาเดียวกันฉันได้ลบทุกสิ่งใน/var/lib/puppet/sslไดเรกทอรีตัวแทนและลาออกแล้วฉันไม่รู้ว่าจะต้องทำอะไรอีก
เจ้านายของคุณดูเหมือนจะใช้ใบรับรองที่แตกต่างจากที่ลูกค้าไว้วางใจ ใบรับรองของอาจารย์เปลี่ยนไปหรือไม่
—
เชนแมดเดน
@ShaneMadden ฉันไม่คิดอย่างนั้น ... ฉันควรทำความสะอาดและเพิกถอนใบรับรองระดับปริญญาโทและลูกค้าหรือไม่ ฉันไม่ได้ยุ่งกับใบรับรองปริญญาโทเลย แต่นี่คือผลลัพธ์ของ "รายการใบรับรองหุ่นกระบอก - ทั้งหมด" ดูเหมือนว่า: + "masterhost.domain.com" (SHA1) E1: F7: 6A: 21: CB: ซีดี: xx: xx: xx: xx ... + "agenthost.domain.com" (SHA256) 5A: D9: 7B: 96: 0B: FF: E4: 87: 58: AF: 00: xx: xx: xx : xx ..
—
John Smith
และนั่น
—
เชนแมดเดน
masterhost.domain.comก็เหมือนกับhostname.domain.comคำถามของคุณใช่ไหม? ลองทำสิ่งนี้เราจะดูว่าใบรับรองตรวจสอบด้วยตนเองหรือไม่ เรียกใช้openssl s_client -connect masterhost.domain.com:8140 -showcertsและคัดลอกข้อมูลใบรับรอง (เริ่มด้วย-----BEGIN CERTIFICATE-----รวมบรรทัดนั้นและบรรทัดใบรับรองสิ้นสุด) ลงในไฟล์ใหม่จากนั้นเรียกใช้openssl verify -CAfile /var/lib/puppet/ssl/certs/ca.pem /path/to/file/from/last/commandและดูว่ามีการตรวจสอบหรือไม่
@ShaneMadden ดูเหมือนว่ามีบางอย่างผิดปกติ .... เมื่อฉันรันคำสั่ง "-showcerts" มันให้ใบรับรอง "เริ่มต้น" และ "จบ" สองครั้งให้ฉันดังนั้นฉันจึงลองเพิ่มหนึ่งในไฟล์ใหม่และได้รับ สิ่งนี้: / var / lib / puppet / ssl / ca / test: /CN=masterhost.domain.com ข้อผิดพลาด 7 ที่ 0 การค้นหาเชิงลึก: ความล้มเหลวของใบรับรองลายเซ็น 22297: ข้อผิดพลาด: 0407006A: รูทีน rsa: RSA_padding_check_PKCS1_type_1: ประเภทบล็อกไม่ใช่ 01: rsa_pk1.c: 100: 22297: ข้อผิดพลาด: 04067072: กิจวัตร RSA: RSA_EAY_PUBLIC_DECRYPT: การตรวจสอบช่องว่างภายในล้มเหลว: rsa_eay.c: 697: 22297: ข้อผิดพลาด: 0D0C5006: ASN1 เข้ารหัสกิจวัตร: ASN1_item_verify: EVP lib: a_verify.c: 173:
—
จอห์น Smith
นั่น .. แปลก ดูเหมือนว่าจะส่งใบรับรองหลักนอกเหนือจากเซิร์ฟเวอร์ใบรับรองในการเชื่อมต่อดังนั้นอาจเปรียบเทียบเนื้อหาของใบรับรองที่สองจาก
—
เชนแมดเดน
-showcertsกับเนื้อหาของ/var/lib/puppet/ssl/certs/ca.pem- ควรเป็นเหมือนกันหรือไม่