Puppetマスター/エージェントをセットアップし、マスター上のエージェントの証明書に正常に署名しました。しかし、実行するpuppet agent --testと、次のようなエラーが発生します。
Warning: Unable to fetch my node definition, but the agent run will continue:
Warning: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Info: Retrieving plugin
Error: /File[/var/lib/puppet/lib]: Failed to generate additional resources using 'eval_generate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: /File[/var/lib/puppet/lib]: Could not evaluate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com] Could not retrieve file metadata for puppet://hostname.domain.com/plugins: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Warning: Not using cache on failed catalog
Error: Could not retrieve catalog; skipping run
Error: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
hostname.domain.comマスターであります
どうすれば修正できますか?両方のクロックが同じタイムゾーンの正しい時刻にあることを確認しました。エージェント/var/lib/puppet/sslディレクトリ内のすべてを削除して辞任しました。他に何をすべきかわかりません。
あなたのマスターはあなたのクライアントが信頼するものとは異なる証明書を使用しているようですか?マスターの証明書は変更されましたか?
—
シェーンマッデン
@ShaneMadden私はそうは思いません...マスターとクライアントの証明書をクリーンアップして取り消す必要がありますか?私はマスター証明書にまったく手を加えていませんが、「puppet cert list --all」の出力は次のようになります。+ "masterhost.domain.com"(SHA1)E1:F7:6A:21:CB: CD:xx:xx:xx:xx ... + "agenthost.domain.com"(SHA256)5A:D9:7B:96:0B:FF:E4:87:58:AF:00:xx:xx:xx :xx ..
—
ジョンスミス
それ
—
シェーンマッデン
masterhost.domain.comはhostname.domain.comあなたの質問と同じですよね?これを試してみましょう。証明書が手動で検証されるかどうかを確認します。を実行しopenssl s_client -connect masterhost.domain.com:8140 -showcerts、証明書データ(で始まり-----BEGIN CERTIFICATE-----、その行と証明書の最終行を含める)を新しいファイルにコピーしてからを実行しopenssl verify -CAfile /var/lib/puppet/ssl/certs/ca.pem /path/to/file/from/last/command、検証されるかどうかを確認します。
@ShaneMadden何かがおかしいようです... "-showcerts"コマンドを実行すると、 "begin"と "end"の2つの証明書が表示されたので、最初にそれらの1つを新しいファイルに追加してみました。 this:/ var / lib / puppet / ssl / ca / test:/CN=masterhost.domain.com error 7 at 0 depth lookup:certificate signature failure 22297:error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01: rsa_pk1.c:100:22297:error:04067072:rsaルーチン:RSA_EAY_PUBLIC_DECRYPT:パディングチェックが失敗しました:rsa_eay.c:697:22297:error:0D0C5006:asn1エンコーディングルーチン:ASN1_item_verify:EVP lib:a_verify.c:173:
—
Johnスミス
それは奇妙です。それはので、多分ちょうどから2番目証明書の内容を比較、接続中のサーバ証明書に加えて、ルート証明書を送信しているように聞こえる
—
シェーンマッデン2013年
-showcertsの内容に/var/lib/puppet/ssl/certs/ca.pem-彼らは同一である必要がありますか?