Как добавить, что несколько DNS называют к моему puppetmaster?
Для пользы всех, кто наткнется на этот ответ:
Из-за CVE-2011-3872 Puppet больше не поддерживает имена сертификатов ] вариант. Из документации:
Параметр certdnsnames больше не работает после CVE-2011-3872. Мы полностью игнорируем значение. Для вашего собственного запроса сертификата вы можно установить dns_alt_names в конфигурации, и он будет применяться локально. Нет опции конфигурации для установки альтернативных имен DNS или любых других значение subjectAltName для сертификата другого узла. Поочередно вы можно использовать параметр командной строки --dns_alt_names для установки меток добавлен при создании вашего собственного CSR.
Вы можете сгенерировать сертификат SSL для своего сервера, используя subjectAlternativeName, например:
$ puppet cert generate <puppet master's certname> --dns_alt_names=<comma-separated list of DNS names>
Добавить запись SAN в марионеточное использование сертификата сервера:
systemctl stop puppetserver
puppetserver ca setup --subject-alt-names $(hostname -f),puppet
systemctl start puppetserver
, возможно, должен убрать существующие сертификаты через rm -rf $(puppet master --configprint ssldir) также
- Во-первых,
certdnsnamesпредставляет собой список, разделенный двоеточиями. - Во-вторых, эта ошибка возникает из-за того, что агент связывается с мастером, используя имя хоста, которое не было включено при подписании сертификата: http://docs.puppetlabs.com/guides/troubleshooting.html
Согласно
puppet agent --genconfig
вы должны использовать двоеточие, разделенное (":" not " ; ") list.
Значит, это должно быть
certdnsnames = 'puppet:puppet.local:myname.dyndns.org:hivemind.local'
HTH