0

我正在尝试在 aws ec2 instance-linux ami 中设置 puppet master 和 puppet agent。当我运行我的 puppet 代理生成证书供主签名时,我遇到以下错误。

木偶大师:

[root@ip-10-**-*-*** /]# sudo yum install puppet-server

[root@ip-10-**-*-*** /] sudo service puppetmaster start
Starting puppetmaster:                                     [  OK  ]

傀儡代理:

[root@ip-10-**-*-*** /]# sudo yum install puppet

[root@ip-10-**-*-*** /]
File excerpt /etc/puppet/puppet.conf
[main]
     server = hostname

[root@ip-10-**-*-*** /] sudo service puppet start
Starting puppet:                                           [  OK  ]

[root@ip-10-**-*-*** /]# puppet agent -t
    info: Creating a new SSL key for ip-10-**-*-***.dev.abc.net
    info: Caching certificate for ca
    info: Creating a new SSL certificate request for ip-10-**-*-***.dev.abc.net
    info: Certificate Request fingerprint (md5): C2:F0:B1:2C:19:39:9E:D6:39:24:18:28
    Exiting; no certificate found and waitforcert is disabled

木偶大师:

[root@ip-10-**-*-*** /]# puppet cert list
"ip-10-**-*-***.dev.abc.net" (C2:F0:B1:2C:19:39:9E:D6:39:24:18:28:F6:DA:5D:FE)

[root@ip-10-**-*-*** /]# puppet cert sign ip-10-**-*-***.dev.abc.net
notice: Signed certificate request for ip-10-**-*-***.dev.abc.net
notice: Removing file Puppet::SSL::CertificateRequest ip-10-**-*-***.dev.abc.net at '/var/lib/puppet/ssl/ca/requests/ip-10-**-*-***.dev.abc.net.pem'

傀儡代理:

[root@ip-10-**-*-*** /]# puppet agent -t
info: Caching certificate for ip-10-**-*-***.dev.abc.net
err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=ip-10-**-*-***.dev.abc.net]
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run
err: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=ip-10-**-*-***.dev.abc.net]

谁能帮我解决这个问题。

4

1 回答 1

0

是的,我知道这是一个旧帖子。它仍然需要一个答案,因为我遇到了同样的问题——现在已经工作了几个星期了。我还不能保证我的工作一直正常。以下是我采取的一些步骤。我希望他们对其他人有所帮助。
我正在运行 Puppet Enterprise 2018.1.4。RHEL 7.4 上的 Puppet Agent 5.5.6。
1) SSL 例程使用时间戳。确保 Master 和 Client 之间的时间相同。
2)从主服务器和客户端清除/删除代理证书。在我的 RHEL 上,客户端证书位于 /etc/puppetlabs/puppet/ssl/* - 删除此处包含代理名称的所有文件。
3) 确保您的代理启用了您的木偶:puppet agent --enable
4)如果客户端“有一段时间”没有联系 puppet master,master 会将客户端从其节点列表中删除,但不会删除证书。理论上,主节点应该将节点返回到活动状态。
5)你能在主服务器上运行傀儡代理并获得预期的结果吗?如果不是 -> 傀儡代码有问题,否则,代理有问题。
6) puppet.conf 配置是否正确?
在 [main] 部分下,您的服务器条目是否正确?
在 [agent] 下,您是否设置了正确的环境?noop 设置为 true 吗?
7) 您可能在 puppet 模块中有错误导致代理安静地退出。对你所有的 .pp 文件运行 puppet parser validate
8) master 可以解析 master 和 client 的 IP 地址吗?
客户端可以解析master和客户端的IP地址吗?
两台主机上的 resolv.conf 设置是否正确?
9)客户端和主机的主机名应该是正确的。每个服务器都应该知道它的短名称、FQDN 和 IP。在 RHEL 上,我运行:主机名;主机名-f;和主机名-i,分别。
10)所有目录和模块的文件权限应该是正确的。检查一个工作模块,查看它的所有者、组和权限。确保您的模块是相同的。
11) 只有root/admin 才能正确运行puppet agent。
12) 在 RHEL 上,日志位于 /var/log/puppet 下。你看到那里有任何错误吗?
13) 除了-t 之外,使用--debug 或--trace 选项运行puppet 代理。将此输出通过管道传输到文件中,看看是否可以发现任何错误。
14)能否强制master在客户端成功运行puppet代理?
其中许多事情一直在缩小我的问题范围。我还不知道它是否已修复,因为节点退出需要一段时间。希望这些能解决您的问题。

于 2019-02-05T23:17:21.090 回答