Ich habe einen Puppet Master / Agent eingerichtet und das Zertifikat für den Agenten auf dem Master erfolgreich signiert. Beim Ausführen wird puppet agent --testjedoch ein Fehler angezeigt, der folgendermaßen aussieht:
Warning: Unable to fetch my node definition, but the agent run will continue:
Warning: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Info: Retrieving plugin
Error: /File[/var/lib/puppet/lib]: Failed to generate additional resources using 'eval_generate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: /File[/var/lib/puppet/lib]: Could not evaluate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com] Could not retrieve file metadata for puppet://hostname.domain.com/plugins: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Warning: Not using cache on failed catalog
Error: Could not retrieve catalog; skipping run
Error: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com]
Das hostname.domain.comist der Meister
Wie behebe ich das? Ich habe sichergestellt, dass beide Uhren zur richtigen Zeit in derselben Zeitzone sind. Ich habe alles im Agentenverzeichnis gelöscht /var/lib/puppet/sslund bin zurückgetreten. Ich weiß nicht, was ich sonst tun soll.
Ihr Master scheint ein anderes Zertifikat zu verwenden als Ihr Client vertraut? Hat sich das Master-Zertifikat geändert?
—
Shane Madden
@ShaneMadden Ich glaube nicht ... sollte ich die Master- und Client-Zertifikate bereinigen und widerrufen? Ich habe überhaupt nicht mit den Master-Zertifikaten herumgespielt, aber so sieht die Ausgabe von "Puppet Cert List --all" aus: + "masterhost.domain.com" (SHA1) E1: F7: 6A: 21: CB: CD: xx: xx: xx: xx ... + "agenthost.domain.com" (SHA256) 5A: D9: 7B: 96: 0B: FF: E4: 87: 58: AF: 00: xx: xx: xx : xx ..
—
John Smith
Und das
—
Shane Madden
masterhost.domain.comist das gleiche wie hostname.domain.comin Ihrer Frage, oder? Versuchen wir dies, wir werden sehen, ob die Zertifikate manuell überprüft werden. Führen Sie openssl s_client -connect masterhost.domain.com:8140 -showcertsdie Zertifikatdaten aus und kopieren Sie sie (beginnt mit -----BEGIN CERTIFICATE-----dieser Zeile und der Endzertifikatzeile) in eine neue Datei. Führen Sie sie dann aus openssl verify -CAfile /var/lib/puppet/ssl/certs/ca.pem /path/to/file/from/last/commandund prüfen Sie, ob sie überprüft werden.
@ShaneMadden Es scheint, als ob etwas nicht stimmt ... Als ich den Befehl "-showcerts" ausführte, gab es mir zwei "Start" - und "End" -Zertifikate, also habe ich versucht, zuerst eines davon zu einer neuen Datei hinzuzufügen, und bekam dies: / var / lib / puppet / ssl / ca / test: /CN=masterhost.domain.com Fehler 7 bei 0 Tiefensuche: Zertifikatssignaturfehler 22297: Fehler: 0407006A: rsa-Routinen: RSA_padding_check_PKCS1_type_1: Blocktyp ist nicht 01: rsa_pk1.c: 100: 22297: Fehler: 04.067.072: RSA - Routinen: RSA_EAY_PUBLIC_DECRYPT: padding Prüfung fehlgeschlagen: rsa_eay.c: 697: 22297: Fehler: 0D0C5006: asn1 kodierend Routinen: ASN1_item_verify: EVP lib: a_verify.c: 173:
—
John Smith
Das ist seltsam. Es hört sich so an, als würde das Stammzertifikat zusätzlich zum Serverzertifikat in der Verbindung gesendet. Vergleichen Sie also möglicherweise einfach den Inhalt des zweiten Zertifikats
—
Shane Madden
-showcertsmit dem Inhalt von /var/lib/puppet/ssl/certs/ca.pem- sollten sie identisch sein?