vấn đề tên máy chủ con rối

Tôi đã tìm kiếm trực tuyến và tôi thấy một vài người khác đã có vấn đề này trên các danh sách / bảng khác. Khi tôi chạy sudo Puppetd --waitforcert 60 --test lần thứ 2 sau khi ký chứng chỉ trên máy chủ chính, tôi gặp lỗi này-

notice: Got signed certificate
warning: Certificate validation failed; considering using the certname configuration option
err: /File[/var/lib/puppet/lib]: Failed to generate additional resources during transaction: Certificates were not trusted: hostname was not match with the server certificate

Tôi không chắc là tôi hiểu vấn đề hay cách khắc phục. Vì vậy, đó là lý do tại sao tôi hỏi.

Tôi đang thiết lập con rối trên hai máy chủ trong mạng LAN của mình. Con rối được đặt tên là 'con rối' và máy chủ khác được đặt tên là 'con rối'. Tôi đặt con rối vào / etc / host trên con rối.

chạy tên máy chủ -f sẽ hiển thị con rối và con rối trên các máy chủ tương ứng. Tôi không chắc chắn những gì khác để thử. Có ai có bất cứ cái nhìn sâu sắc?

Âm thanh như chứng chỉ múa rối được tạo ra khi chủ nhà được đặt tên khác với "con rối". Tái tạo chứng chỉ và bạn nên giỏi.

Tên được lưu trong chứng chỉ phải khớp với những gì bạn đã cấu hình máy khách của mình để kết nối (chính xác). Chẳng hạn, nếu bạn định cấu hình ứng dụng khách của mình để kết nối với "Puppet.domain.com", bạn sẽ gặp lỗi nếu chứng chỉ có tên là "con rối" và ngược lại.

Nếu bạn muốn sử dụng DNS CNAME cho người điều khiển rối, bạn có thể bắt đầu người điều khiển rối bằng cách sử dụng:

puppetmaster --certname cname.domain.org

sẽ làm cho rối được sử dụng cname.domain.orgthay vì tên miền đủ điều kiện mặc định.

Các --certname cname.domain.orgtùy chọn cờ dường như đã làm các trick cho tôi (trên Amazon EC2)

bạn có thể hỏi facter (facter fqdn) tên máy chủ là gì và xem nó có phù hợp với những gì bạn mong đợi không. Ngoài ra, hãy xem (theo mặc định) / var / lib / Puppet / ssl / và xem các certs trông như thế nào, nếu chúng không có tên máy chủ chính xác có thể là vấn đề của bạn. Vì con rối thực hiện tất cả các giao tiếp qua HTTPS nên nó khá nhạy cảm với độ phân giải và đặt tên máy chủ.

Trước khi cài đặt Puppet trên máy khách và máy chủ được chỉ định của bạn, hãy kiểm tra tệp /etc/resolv.conf và xác minh rằng mục nhập tên miền đầu tiên trên dòng "tìm kiếm" là tên miền mà bạn muốn Puppet chạy theo. Ví dụ:

tìm kiếm my.puppetdomain.com my.public.domain.com

máy chủ tên 192.168.1.1 máy chủ tên xxx.xxx.1.1

Trong giai đoạn cài đặt Puppet, máy chủ Puppet sẽ tạo chứng chỉ dựa trên mục tìm kiếm đầu tiên trong /etc/resolv.conf. Tôi tìm thấy điều này một cách khó khăn. Nếu bạn thấy các lỗi liên quan đến chứng chỉ trên bất kỳ nút rối nào, hãy thực hiện các bước sau:

1) Chỉnh sửa /etc/resolv.conf và xác minh rằng tên miền đầu tiên được liệt kê trong dòng "tìm kiếm" phản ánh tên miền bạn muốn Puppet chạy vào.

2) Gỡ cài đặt con rối (giữ nguyên thư mục / etc / Puppet).

3) rm -rf / var / lib / con rối

4) Cài đặt lại Puppet (điều này sẽ tạo một thư mục mới / var / lib / Puppet).

5) Nếu thực hiện điều này trên máy chủ Puppet, hãy chạy / usr / sbin / Puppetmasterd --mkusers (cách khác, chạy / usr / local / sbin / Puppetmasterd --mkusers ). Điều này sẽ tạo ra tất cả các tệp cần thiết trong / var / lib / con rối, bao gồm các chứng chỉ nội bộ mới sử dụng tên miền phù hợp.

6) Nếu thực hiện điều này trên máy khách Puppet, hãy khởi động Puppet ở chế độ dài dòng, với cờ --waitforcert được bật: Puppetd -server .puppetdomain.com --waitforcert 60 --test Bước này sẽ gửi yêu cầu chứng chỉ đến máy chủ Puppet.

7) Trên máy chủ Puppet, liệt kê các chứng chỉ đang chờ:

con rối - danh sách

Bạn sẽ thấy tên máy chủ của ứng dụng khách rối đưa ra yêu cầu:

Puppetclient1.puppetdomain.com

8) Từ máy chủ Puppet, ký tên vào chứng chỉ của máy khách Puppet vừa được liệt kê:

con rối - ký hiệu con rối1.puppetdomain.com

Thế là xong.

HTH ....

Cả con rối và con rối đều giải quyết trong DNS? Nếu không, bạn có thể chỉnh sửa tệp / etc / hosts để ánh xạ IP và tên máy chủ. IIRC, bạn chỉ cần làm điều này trên máy khách.