无法向Foreman发送事实的木偶-- "tlsv1警报未知ca“

Question

我最近将Katello更新为2.2，Foreman现在更新为1.8.1，因此在升级的某个地方，傀儡现在无法与Foreman联系：

> [root@virt5 ~]# puppet agent --test info: 
> Retrieving plugin <snipped>
> err: Could not retrieve catalog from remote server: Error 400 on
> SERVER: Failed when searching for node virt5: Failed to find virt5.
> via exec: Execution of '/etc/puppet/node.rb virt5' returned 1:
> warning: Not using cache on failed catalog err: Could not retrieve
> catalog; skipping run

在我的傀儡主人身上运行相同的命令时，我看到：

[root@foreman certs]# /etc/puppet/node.rb virt5

无法将事实发送给Foreman: SSL_connect returned=1 errno=0 state=SSLv3读取服务器会话票证A: tlsv1警报未知ca

我试图将httpd使用的/etc/pki/katello/certs/katello-default-ca.crt证书复制到/etc/pki/ca-trust/source/anchors/，然后运行update-ca-trust extract，但这似乎没有什么区别。

我肯定我错过了一些愚蠢的东西，我只是不确定那会是什么。

Answer 1

我在这里看到的一个错误(在文档中应该更清楚)是，您认为Katello使用了伪证书，比如Foreman，但它没有。

在Foreman/Katello主持的比赛中：

capsule-certs-generate --capsule-fqdn "mycapsule.example.com"\ 
                       --certs-tar "~/mycapsule.example.com-certs.tar"

mycapsule.example.com是你的另一个傀儡主人。

打开这个tarball，复制“傀儡客户端”证书RPM给你的木偶主人，然后安装它。

复制一些文件：

cp /etc/pki/katello-certs-tools/certs/*-puppet-client.crt /etc/puppet/foreman.crt
cp /etc/pki/katello-certs-tools/private/*-puppet-client.key /etc/puppet/foreman.key
cd /etc/puppet
wget https://katello.mydomain.net/pub/katello-default-ca.crt
chown puppet /etc/puppet/foreman.{crt,key} /etc/puppet/katello*

配置您的/etc/傀儡/foreman.yaml如下：

:url: "https://katello.mydomain.net"
:ssl_ca: "/etc/puppet/katello-default-ca.crt"
:ssl_cert: "/etc/puppet/foreman.crt"
:ssl_key: "/etc/puppet/foreman.key"

希望这能行。