Puppet错误:无法从远程服务器检索目录:SSL_connect返回= 1 errno = 0

时间:2016-08-17 16:21:01

标签: puppet puppet-enterprise puppetlabs-apache

我正在尝试在aws ec2 instances-linux ami中设置puppet master和puppet代理。当我运行我的木偶代理生成证书以便主人签名我遇到以下错误。

Puppet Master:

[root@ip-10-**-*-*** /]# sudo yum install puppet-server

[root@ip-10-**-*-*** /] sudo service puppetmaster start
Starting puppetmaster:                                     [  OK  ]

Puppet Agent:

[root@ip-10-**-*-*** /]# sudo yum install puppet

[root@ip-10-**-*-*** /]
File excerpt /etc/puppet/puppet.conf
[main]
     server = hostname

[root@ip-10-**-*-*** /] sudo service puppet start
Starting puppet:                                           [  OK  ]

[root@ip-10-**-*-*** /]# puppet agent -t
    info: Creating a new SSL key for ip-10-**-*-***.dev.abc.net
    info: Caching certificate for ca
    info: Creating a new SSL certificate request for ip-10-**-*-***.dev.abc.net
    info: Certificate Request fingerprint (md5): C2:F0:B1:2C:19:39:9E:D6:39:24:18:28
    Exiting; no certificate found and waitforcert is disabled

Puppet Master:

[root@ip-10-**-*-*** /]# puppet cert list
"ip-10-**-*-***.dev.abc.net" (C2:F0:B1:2C:19:39:9E:D6:39:24:18:28:F6:DA:5D:FE)

[root@ip-10-**-*-*** /]# puppet cert sign ip-10-**-*-***.dev.abc.net
notice: Signed certificate request for ip-10-**-*-***.dev.abc.net
notice: Removing file Puppet::SSL::CertificateRequest ip-10-**-*-***.dev.abc.net at '/var/lib/puppet/ssl/ca/requests/ip-10-**-*-***.dev.abc.net.pem'

Puppet Agent:

[root@ip-10-**-*-*** /]# puppet agent -t
info: Caching certificate for ip-10-**-*-***.dev.abc.net
err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=ip-10-**-*-***.dev.abc.net]
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run
err: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=ip-10-**-*-***.dev.abc.net]

任何人都可以帮我解决这个问题。

1 个答案:

答案 0 :(得分:0)

是的,我知道这是旧帖子。它仍然需要一个答案,因为我遇到了同样的问题-已经工作了几个星期。我不能保证我的一直在正常工作。这是我已采取的一些步骤。我希望他们对其他人有帮助。
我正在运行Puppet Enterprise 2018.1.4。 RHEL 7.4上的Puppet Agent 5.5.6。
1)SSL例程使用时间戳。确保Master和Client之间的时间相同。
2)从主机和客户端清除/删除代理证书。在我的RHEL上,客户端证书位于/ etc / puppetlabs / puppet / ssl / *中-删除此处具有代理名称的所有文件。
3)确保在您的代理上启用了人偶:人偶代理--enable
4)如果客户端“暂时不联系” the主机,则主机将从其节点列表中删除该客户端,但不删除证书。从理论上讲,主节点应该将节点恢复为活动状态。
5)您可以在主服务器上运行the代理并获得预期的结果吗?如果不是->人偶代码有问题,否则代理有问题。
6)puppet.conf是否配置正确?
在[main]部分下,您是否正确输入了服务器条目?
在[agent]下您设置了正确的环境吗? noop设置为true吗?
7)人偶模块中可能有错误,导致代理静默退出。在所有.pp文件上运行puppet解析器验证
8)主机可以解析主机和客户端的IP地址吗?
客户端可以解析主机和客户端的IP地址吗?
两台主机上的resolv.conf是否设置正确?
9)客户端和主服务器的主机名应该正确。每个服务器都应该知道它的简称,FQDN和IP。在RHEL上,我运行:hostname;主机名-f;和主机名-i。
10)所有目录和模块上的文件权限均应正确。检出工作模块,查看其所有者,组和权限。确保您的模块相同。
11)只有root / admin才能正确运行puppet代理。
12)在RHEL上,日志位于/ var / log / puppet下。在那里看到错误了吗?
13)除了-t以外,还使用--debug或--trace选项运行人偶代理。将此输出通过管道传输到文件,看看是否可以发现任何错误。
14)您可以强制主服务器在客户端上成功运行人偶代理吗?
其中许多事情使我的工作范围缩小了。我还不知道它是否固定,因为节点退出需要一段时间。希望这些可以解决您的问题。

相关问题
最新问题