Марионеточный сертификат агента проверяет отказ

Восстановите всю настройку сертификата клиента. Это всегда исправляло любые проблемы с сертификатами, с которыми мы сталкивались в прошлом. В следующей инструкции предполагается, что имя хоста вашего агента - agenthost.hostname.com

На клиенте удалите все сохраненные сертификаты, включая CA:

find /var/lib/puppet/ssl -name '*.pem' -delete

На главном сервере удалите все ожидающие CSR или старые клиентские сертификаты для этого клиента:

find /var/lib/puppet/ssl -name agenthost.domain.com.pem -delete

Затем на клиенте повторно подключитесь к мастеру и отправьте CSR:

puppet agent -t --waitforcert=60

, и когда он ожидает (если вы не включили автоподпись), тогда на главном сервере подтвердите CSR, чтобы новый сертификат клиента был отправлен обратно:

puppet cert sign agenthost.domain.com

Это должно заставить агент повторно загрузить сертификаты марионеточного CA и повторно подать заявку на получение собственного сертификата.

Нам приходилось использовать эту процедуру в прошлом, когда мы меняли марионеточные серверы и сертификаты CA, или когда мы перестроил хост с тем же именем хоста.

Убедитесь, что ваш агент знает свое настоящее полное имя хоста; используйте команду hostname, чтобы убедиться, что это именно то, что вы ожидаете.

У меня похожая проблема. Я создал бродячую среду с одним кукловодом и несколькими клиентами. Проблема в том, что когда я уничтожаю и создаю марионеточный мастер, клиенты обнаруживают нового марионеточного мастера как самозванца.

Удаление / etc / puppet / ssl на клиенте решает проблему.

Помните, что ваш ssl конфигурация будет кэширована, поэтому потребуется перезапуск мастера марионеток , если вы решите также удалить свой / etc / puppet / ssl на этом хосте:

sudo /etc/init.d/puppetmaster restart