পুতুল হোস্টনেম সার্ভার শংসাপত্রের সাথে মেলে না

আমি পুতুল ইনস্টল করে একটি উবুন্টু ভিএম সেট আপ করার চেষ্টা করছি যাতে আমি স্থানীয়ভাবে আমাদের উত্পাদন সেটআপ পরীক্ষা করতে পারি। একে অপরের সাথে কথা বলার জন্য পুতুলমাস্টার এবং পুতুল পেতে আমার সমস্যা হচ্ছে। আমাকে আমার পদক্ষেপের মধ্য দিয়ে যেতে দাও। (সার্ভারটি hostnameহ'ল "ওয়েব 1.xxx.xxx.net" ফর্ম্যাটের একটি এফকিউডিএন)।

সুতরাং প্রথমত, আমি ডিরেক্টরি থেকে সমস্ত পেম ফাইলগুলি (অবশ্যই সিএ পেমস বাদে) ক্লিয়ার করে ফেললাম /etc/puppet/sslযাতে আমি একটি নতুন শুরু করতে পারি। puppetca --listকোনও ফল দেয় না।

তারপরে, আমি puppetd --testপুতুলক্ষেত্রের জন্য একটি সিএসআর তৈরি করতে ছুটে যাই। puppetca --listএখন আমার হোস্টনাম ("web1.xxx.xxx.net") অন্তর্ভুক্ত রয়েছে।

তারপরে আমি দৌড়ে যাই puppetca --sign web1.xxx.xxx.net। এখন puppetca --listআবার খালি - এখন পর্যন্ত সবকিছু ঠিকঠাক কাজ করছে।

শেষ পর্যন্ত আমি puppetd --testআবার দৌড়াচ্ছি । আমি নিম্নলিখিত আউটপুট পেতে:

err: Could not retrieve catalog from remote server: hostname was not match with the server certificate
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run

/etc/puppet/sslডিরেক্টরিটির বিষয়বস্তু তালিকাভুক্ত করা PEM ফাইলগুলি সঠিক সার্ভার নামের সাথে দেখায় যা আমার সাথে মেলে hostname। এই সমস্যাটিকে আক্রমণ করার জন্য কারও কোনও ধারণা আছে?

ত্রুটিটি কারণ ক্লায়েন্টটি ডিফল্টরূপে সার্ভারের হোস্টনাম 'পুতুল' এর সাথে সংযুক্ত থাকে তবে উপস্থাপিত শংসাপত্রটির 'পুতুল' এর বিষয় হিসাবে হয় না বা সাবজেক্টএল্টনেম বৈশিষ্ট্য হিসাবে থাকে।

এটি ঠিক করতে, আপনি (একটি বাছাই করুন):

1. আপনার পুতুলের মাস্টারের শংসাপত্রটি চালিয়ে puppetdনা গিয়ে চালিয়ে এটি আরম্ভ করুন - এর ফলে শংসাপত্রের puppetmasterdবিষয়টির নাম "পুতুল" অন্তর্ভুক্ত করবে।

2. আপনি ব্যবহার করতে পারেন puppetca --generate --certdnsnames puppet:puppet.mydomain.com web1.xx.xx.xx.netএমন সুযোগগুলিকে রেখে দেওয়ার পরিবর্তে - শংসাপত্রগুলির নাম বিকল্পটি সাবজেক্টএল্টনামগুলির একটি তালিকা নির্দিষ্ট করে যা শংসাপত্রের অন্তর্ভুক্ত হবে; এতে কোনও ক্লায়েন্ট সার্ভারের সাথে যোগাযোগের জন্য ব্যবহার করবে এমন কোনও নামের কোলন-বিচ্ছিন্ন তালিকা থাকা উচিত ।

3. কেবল puppetd --testক্লায়েন্টের উপর চলমান পরিবর্তে চালনা করুন puppetd --test --server=web1.xx.xx.xx.netযাতে ক্লায়েন্টের সাথে সংযুক্ত সার্ভারের নামটি সার্ভারের উপস্থাপিত শংসাপত্রের মধ্যে রয়েছে।

আরও সমস্যা সমাধানের জন্য মাস্টারজেনের দুর্দান্ত ব্লগ এন্ট্রি দেখুন: পুতুল এসএসএল ব্যাখ্যা করেছেন

আপনি কি পুতুলমাস্টার লগ ফাইলটি পরীক্ষা করেছেন? আমি একই সমস্যাটি পেয়েছি এবং দেখতে পেয়েছি যে সার্ভার শংসাপত্রের তথ্য লগ করে:

[2012-02-28 16:21:09] INFO  
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: CN=ca
        Validity
            Not Before: Feb 26 16:32:46 2012 GMT
            Not After : Feb 24 16:32:46 2017 GMT
        Subject: CN=ubuntu.localdomain

ক্ষেত্রের সাবজেক্টটি দেখায় যে সিএন "উবুন্টু.লোকাল্ডোমাইন", তাই আমি পুতুলটি সম্পাদন করে সম্পাদন করেছি:

puppetd -t --server=ubuntu.localdomain --fqdn=myfqdn

আশাকরি এটা সাহায্য করবে :-)

পাউ যা জবাব দিয়েছিল সেগুলি ছাড়াও, আমি কেবল হাইলাইট করতে চাই যে আপনি পুতুলমাস্টার শংসাপত্রগুলি ব্যবহার করে এটি পরীক্ষা করতে পারেন:

openssl x509 -text -in /var/lib/puppet/ssl/certs/<hostname_of_puppet_master>

তারপরে নিশ্চিত হয়ে নিন যে ক্লায়েন্টের কাছ থেকে আপনি ঠিক একই হোস্টনামটি ব্যবহার করেছেন:

puppetd --server <hostname_of_puppet_master> <etc>

উভয় সার্ভার কি একে অপরের সমাধান করতে সক্ষম? আমার অনুমান যে আপনি যেহেতু এটি ভিএমিং করছেন আপনি সম্ভবত নামটির রেজোলিউশন মিস করছেন। আপনি যদি সার্ভারগুলিকে একে অপরের সমাধান করতে ডিএনএস ব্যবহার না করেন তবে আপনাকে /etc/hostsউভয় সার্ভারে আপনার ফাইলে এন্ট্রি যুক্ত করতে হবে ।

পুতুলের সঠিক আইপিগুলিতে সমাধানের জন্য হোস্টনামগুলির প্রয়োজন, এটি ছাড়া আপনি উল্লিখিত ত্রুটি পাবেন। এটি করার পরে আপনাকে শংসাপত্রগুলি পুনরায় তৈরি করতে হবে। উভয় মেশিন হোস্টনামের মাধ্যমে প্রতিটি পিং করতে সক্ষম হওয়া উচিত।

ভিএমএসের সাথে সাবধান হওয়ার আরেকটি বিষয় হ'ল আপনি সার্ভারে সময়গুলি সিঙ্ক করেন। যদি আপনি এটি না করেন তবে শংসাপত্রগুলি অবৈধ হবে।