Для пользы всех, кто наткнется на этот ответ:
Из-за CVE-2011-3872 Puppet больше не поддерживает имена сертификатов
] вариант. Из документации:
Параметр certdnsnames больше не работает после CVE-2011-3872. Мы полностью игнорируем значение. Для вашего собственного запроса сертификата вы можно установить dns_alt_names в конфигурации, и он будет применяться локально. Нет опции конфигурации для установки альтернативных имен DNS или любых других значение subjectAltName для сертификата другого узла. Поочередно вы можно использовать параметр командной строки --dns_alt_names для установки меток добавлен при создании вашего собственного CSR.
Вы можете сгенерировать сертификат SSL для своего сервера, используя subjectAlternativeName, например:
$ puppet cert generate <puppet master's certname> --dns_alt_names=<comma-separated list of DNS names>
Добавить запись SAN в марионеточное использование сертификата сервера:
systemctl stop puppetserver
puppetserver ca setup --subject-alt-names $(hostname -f),puppet
systemctl start puppetserver
, возможно, должен убрать существующие сертификаты через rm -rf $(puppet master --configprint ssldir)
также
certdnsnames
представляет собой список, разделенный двоеточиями. Согласно
puppet agent --genconfig
вы должны использовать двоеточие, разделенное (":" not " ; ") list.
Значит, это должно быть
certdnsnames = 'puppet:puppet.local:myname.dyndns.org:hivemind.local'
HTH