替换木偶主

Question

我有木偶主人和木偶代理，并且代理成功地与主人沟通。现在我想用别的机器当我的傀儡主人。我创建了另一个名为master-2的木偶主，并在代理中运行：

sudo puppet agent -t --server master-2

导致错误的原因：

证书验证失败: /CN=Puppet CA: master-2证书链中的自签名证书

我将/var/lib/lib/ssl文件夹从master -2复制到master-2，现在上面的命令成功了。

是否有办法防止代理与第一个主程序通信？如何从代理中删除第一个主证书并添加主-2的新证书？

Answer 1

创建新的干净主-2，并将两个文件从master-2复制到代理：

1. 将文件“/var/lib/lib/ssl/ca/ca_crt.pem”从master-2复制到代理，并将其保存为“/var/lib/lib/ssl/certs/ca.pem”。
2. 将文件“/var/lib/lib/ssl/ca/ca_crl.pem”从master-2复制到代理，ans将其保存为“/var/lib/lib/ssl/crl.pem”。

删除代理中的旧证书：

sudo find /var/lib/puppet/ssl -name <hostname>.pem -delete

Answer 2

步骤1:编辑代理的puppet.conf，并在代理部分中添加新的傀儡主信息，如下所示

代理

server=

步骤2(可选)：如果您没有复制主服务器ssl证书文件夹(/var/lib/lib/ssl)，您的master2现在将尝试与服务器.You联系，并请求一个新的证书，.You可以使用puppet cert sign命令在您的CA服务器中签名新的证书。