Обновление сертификата sslv3 в puppet

puppet

Бывает, что после вызова "агента" puppet, появляется сообщение о неправильном сертификате. Соответственно дальше процесс не идёт и необходимо обновлять сертификат с привлечением "мастера" puppet. Для того, чтобы на "мастере" не осталось старого сертификата, необходимо выполнить команду:

master# puppet cert -c hostname

После этого "мастер" будет готов к приёму нового сертификата. Теперь необходимо удалить старый сертификат у агента. Для этого нужно получить адрес директории, где хранятся сертификаты:

agent# puppet config print | grep certdir

certdir = /var/lib/puppet/ssl/certs

Получив адрес директории, её нужно почистить (при этом указываем на одну ветку меньше):

agent# rm -rf /var/lib/puppet/ssl

После того, как обе стороны готовы к приёму сертификатов, можно запускать демона puppet:

agent# puppet agent --test

"Агент" puppet сгенерирует сертификат и отправит его мастеру. Получим список сертификатов, ожидающих подписи, на мастере:

master# puppet cert -l

Если, в списке есть только что сгенерированный сертификат от "агента", то подписываем его:

master# puppet cert sign hostname.domain

, где hostname.domain - имя нужного сертификата.

Теперь можно снова запустить демона на "агенте" и увидеть успешный процесс синхронизации.

Комментарии