傀儡ssl失败了消息"未知ca"

时间:2014-08-11 06:53:10

标签: ssl puppet

我试图用puppet建立一个主/代理系统。 我的主人名是snspay.cn,我跟着文件,一切都是正确的,直到我试图从主人那里得到目录。我的命令是

puppet agent --server snspay.cn --no-daemonize --test onetime --verbose

和代理的输出

Error: Could not request certificate: SSL_connect returned=1 
errno=0 state=SSLv3 read server certificate B: certificate verify
failed: [self signed certificate in certificate chain for /CN=Puppet
CA: snspay.cn]

并且主人的日志就像

[2014-08-11 14:39:14] ERROR OpenSSL::SSL::SSLError: SSL_accept 
returned=1 errno=0 state=SSLv3 read client certificate A: tlsv1 
alert unknown ca

我认为ssl而不是木偶是错的,但是我对ssl不是很熟悉,有什么想法吗?


我已经添加了另一个具有完全不同环境的代理节点(ubuntu),一切都很好,所以问题在于原始代理节点,我现在在该节点中运行yum update并稍后再尝试< / p>

1 个答案:

答案 0 :(得分:3)

您的代理人尚未与主人建立信任。

基本上需要发生的是代理将主CA的CA证书导入代理。但是,由于代理商的证书显然是由过时的CA签署的,因此您必须替换所有 SSL数据。

在代理上,使用

找到$ssldir(通常是/var/lib/puppet/ssl
puppet agent --configprint ssldir

并重命名或删除它。

在下一次puppet agent --test运行时,代理应该请求新证书,并缓存正确的CA.