文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >傀儡设备无法获得本地颁发者证书

傀儡设备无法获得本地颁发者证书
EN

Server Fault用户
提问于 2015-12-04 18:51:53
回答 1查看 14.5K关注 0票数 2

我安装了傀儡4.3和centos7使用木偶设备来管理思科路由器。服务器主机名为“傀儡主机”(通过运行hostnamectl puppetmaster),centos服务器正在运行傀儡主机和代理。

在我运行sudo傀儡设备--调试时,设置了所有内容并配置了device.conf之后,我看到了以下错误:

代码语言:javascript
复制
Error: /File[/opt/puppetlabs/puppet/cache/devices/r1/facts.d]: Failed to generate additional resources using 'eval_generate': SSL_connect returned=1 errno=0 state=error: certificate verify failed: [unable to get local issuer certificate for /CN=puppetmaster]
Error: /File[/opt/puppetlabs/puppet/cache/devices/r1/facts.d]: Could not evaluate: Could not retrieve file metadata for puppet:///pluginfacts: SSL_connect returned=1 errno=0 state=error: certificate verify failed: [unable to get local issuer certificate for /CN=puppetmaster]

我可以在服务器上成功地运行puppet agent --test

代码语言:javascript
复制
sudo puppet agent --test
Info: Using configured environment 'production'
Info: Retrieving pluginfacts
Info: Retrieving plugin
Info: Caching catalog for puppetmaster
Info: Applying configuration version '1449189804'

这是我的/etc/傀儡实验室/傀儡/device.conf

代码语言:javascript
复制
[r1]
type cisco
url telnet://puppet:123456@r1/

这是我的/etc/傀儡实验室/木偶/木偶。

代码语言:javascript
复制
[master]
vardir = /opt/puppetlabs/server/data/puppetserver
logdir = /var/log/puppetlabs/puppetserver
rundir = /var/run/puppetlabs/puppetserver
pidfile = /var/run/puppetlabs/puppetserver/puppetserver.pid
codedir = /etc/puppetlabs/code
dns_alt_names = puppetmaster

[agent]
certname = puppetmaster
server = puppetmaster

这一定是某种证书问题,比如名字错配,但我不知道是什么原因造成的。代理与主服务器运行在同一台服务器上,我正确地设置了所有的信任(至少我认为是这样)。

这是木偶归还的证书:

代码语言:javascript
复制
 sudo puppet cert --print --all | grep CN
        Issuer: CN=Puppet CA: puppetmaster
        Subject: CN=puppetmaster

下面是原始的ca.pem和puppetmaster.pem证书:

代码语言:javascript
复制
openssl x509 -in /etc/puppetlabs/puppet/ssl/certs/ca.pem -noout -text | grep CN
        Issuer: CN=Puppet CA: puppetmaster
        Subject: CN=Puppet CA: puppetmaster
                DirName:/CN=Puppet CA: puppetmaster
openssl x509 -in /etc/puppetlabs/puppet/ssl/certs/puppetmaster.pem -noout -text | grep CN
        Issuer: CN=Puppet CA: puppetmaster
        Subject: CN=puppetmaster

当我运行openssl来验证证书时,我会看到同样的错误:

代码语言:javascript
复制
sudo openssl verify -CApath /etc/puppetlabs/puppet/ssl/certs/ca.pem /etc/puppetlabs/puppet/ssl/certs/puppetmaster.pem

/etc/puppetlabs/puppet/ssl/certs/puppetmaster.pem: CN = puppetmaster
error 20 at 0 depth lookup:unable to get local issuer certificate

我确认了配置设置,并通过清洗证书的过程 (多次),但没有骰子。

puppet
openssl
puppetmaster
puppet-agent
centos
EN

回答 1

Server Fault用户

回答已采纳

发布于 2015-12-04 19:32:43

好的算出来了。

正如我说的,我清除并再生了木偶证书,但我没有做的是清楚的:

代码语言:javascript
复制
/opt/puppetlabs/puppet/cache/devices/

木偶为设备缓存了一个旧的证书,所以它试图使用这个证书,而不是生成一个新的证书。

删除该文件夹的内容后,我能够运行puppet device

票数 2
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/740865

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档