我是新成立的木偶和木偶大师…我们有木偶以前设置,新的木偶大师…
第三次编辑
删除master(ghive-ldap)和client(giab10)上的ssl文件后,
master的主机名是ghive-ldap ,客户端的主机名是我的。
主人:
puppet cert clean ghive-ldap puppet cert generate --dns_alt_names ghive-ldap ghive-ldap sudo puppetca --sign giab10 err: Could not call sign: Could not find certificate request for giab10
那么在客户端上:
sudo puppet cert --generate giab10 notice: giab10 has a waiting certificate request notice: Signed certificate request for giab10 notice: Removing file Puppet::SSL::CertificateRequest giab10 at '/var/lib/puppet/ssl/ca/requests/giab10.pem' notice: Removing file Puppet::SSL::CertificateRequest giab10 at '/var/lib/puppet/ssl/certificate_requests/giab10.pem' giabadmin@giab10:~$ sudo puppet cert --list --all + giab10 (0F:CB:............)
我在客户端上运行
sudo puppetd --test --debug ..... err: Could not retrieve catalog from remote server: getaddrinfo: Name or service not know
好的,让我试试这个客户端
sudo puppet agent --server ghive-ldap --waitforcert 60 --test --verbose err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed warning: Not using cache on failed catalog err: Could not retrieve catalog; skipping run
Garrrrr …..我删除了SSL文件,仍然没有运气! 有什么事情一定是出了问题…
我如何从头开始? 我没有太多的帮助文件…对不起,作为一个noob ..谢谢
PS:另外,你如何确保两台服务器有时间同步?
傀儡大师为哪个主机名生成证书? 傀儡客户期望该证书对“puppetmaster”有效,但似乎并没有为这个主机名发布。 我认为“傀儡”可能是puppet的默认CN,或者是服务器的主机名。 您可以通过在服务器的证书上运行“openssl x509 -text -in cert.pem”来检查它,或者使用浏览器连接到https://yourpuppetmaster:8140/ ,并查看哪些域位于CN和dns_alt_names中证书。
编辑
你只有“主人”证书,但你的客户连接到“傀儡主”。 所以无论是客户需要期望“主人”,或者你需要在你的主人“傀儡主”的证书。 puppet.conf中[master]块中的“certname = puppetmaster”将更改服务器上的CN( http://docs.puppetlabs.com/references/stable/configuration.html#certname )。 您可能需要删除旧的证书,但我不确定这一点。 或者,您可以让客户端连接到“主”,或者将其添加到/ etc / hosts,或者如果您正在运行一个DNS域,则连接到您的DNS区域。