Процедура выглядела бы примерно так. Вы не обеспечили очень в способе детали в Вашем вопросе, таким образом, я не могу предоставить Вам точную подробную информацию.
Восстановите всю настройку сертификата клиента. Это всегда исправляло любые проблемы с сертификатами, с которыми мы сталкивались в прошлом. В следующей инструкции предполагается, что имя хоста вашего агента - agenthost.hostname.com
На клиенте удалите все сохраненные сертификаты, включая CA:
find /var/lib/puppet/ssl -name '*.pem' -delete
На главном сервере удалите все ожидающие CSR или старые клиентские сертификаты для этого клиента:
find /var/lib/puppet/ssl -name agenthost.domain.com.pem -delete
Затем на клиенте повторно подключитесь к мастеру и отправьте CSR:
puppet agent -t --waitforcert=60
, и когда он ожидает (если вы не включили автоподпись), тогда на главном сервере подтвердите CSR, чтобы новый сертификат клиента был отправлен обратно:
puppet cert sign agenthost.domain.com
Это должно заставить агент повторно загрузить сертификаты марионеточного CA и повторно подать заявку на получение собственного сертификата.
Нам приходилось использовать эту процедуру в прошлом, когда мы меняли марионеточные серверы и сертификаты CA, или когда мы перестроил хост с тем же именем хоста.
Убедитесь, что ваш агент знает свое настоящее полное имя хоста; используйте команду hostname, чтобы убедиться, что это именно то, что вы ожидаете.
У меня похожая проблема. Я создал бродячую среду с одним кукловодом и несколькими клиентами. Проблема в том, что когда я уничтожаю и создаю марионеточный мастер, клиенты обнаруживают нового марионеточного мастера как самозванца.
Удаление / etc / puppet / ssl
на клиенте решает проблему.
Помните, что ваш ssl конфигурация будет кэширована, поэтому потребуется перезапуск мастера марионеток , если вы решите также удалить свой / etc / puppet / ssl
на этом хосте:
sudo /etc/init.d/puppetmaster restart