Puppet Agent - cert clean vs. fqdn duplicate
Я не мог найти никакого ответа на то, что произошло в моей марионеточной среде, поэтому я надеюсь, что кто-нибудь объяснит мне это здесь . Я пытался сделать это так:
- [Форман] марионеточный сертификат очистки server01.domain.xx
- [Foreman] отключить хост (чтобы отключить его от esx)
- [Foreman] удалить хост
- [новый vm] марионеточный агент -t (CSR)
- [Форман] подпись сертификата марионетки server01.domain.xx
- [новый vm] puppet agent -t
Чего я не сделал, так это отключил марионеточный агент на старом хосте и удалил ssl-каталог (на всякий случай), потому что я думал, что 'puppet cert clean' должно быть достаточно даже хотя fqdn такие же (как и имена сертификатов). Что случилось потом? Старая виртуальная машина запустила марионеточный агент и применила конфигурацию, которая уже была подготовлена для новой виртуальной машины. Надеюсь, ничего плохого не произошло.
Итак, мне не хватает некоторых знаний о том, как это действительно работает? Я думал, что создание закрытого и открытого ключа (4-5) делает эту связь уникальной, и одно и то же имя сертификата не может ее нарушить.
Спасибо заранее за любое разумное объяснение!
К сожалению, это верно.
Выполнение марионеточного сертификата clean $ certname недостаточно для блокировки все еще активного узла.
После этого необходимо перезапустить хозяина марионетки, чтобы фактически использовать новый CRL.
См .: https://docs.puppetlabs.com/references/latest/man/cert.html#ACTIONS при отзыве, но это также относится и к очистке.