Puppet 错误：无法从远程服务器检索目录：SSL_connect 返回=1 errno=0

Question

我正在尝试在 aws ec2 instance-linux ami 中设置 puppet master 和 puppet agent。当我运行我的 puppet 代理生成证书供主人签署时，我遇到了以下错误。

傀儡师：

[root@ip-10-**-*-*** /]# sudo yum install puppet-server

[root@ip-10-**-*-*** /] sudo service puppetmaster start
Starting puppetmaster:                                     [  OK  ]

傀儡特工：

[root@ip-10-**-*-*** /]# sudo yum install puppet

[root@ip-10-**-*-*** /]
File excerpt /etc/puppet/puppet.conf
[main]
     server = hostname

[root@ip-10-**-*-*** /] sudo service puppet start
Starting puppet:                                           [  OK  ]

[root@ip-10-**-*-*** /]# puppet agent -t
    info: Creating a new SSL key for ip-10-**-*-***.dev.abc.net
    info: Caching certificate for ca
    info: Creating a new SSL certificate request for ip-10-**-*-***.dev.abc.net
    info: Certificate Request fingerprint (md5): C2:F0:B1:2C:19:39:9E:D6:39:24:18:28
    Exiting; no certificate found and waitforcert is disabled

傀儡师：

[root@ip-10-**-*-*** /]# puppet cert list
"ip-10-**-*-***.dev.abc.net" (C2:F0:B1:2C:19:39:9E:D6:39:24:18:28:F6:DA:5D:FE)

[root@ip-10-**-*-*** /]# puppet cert sign ip-10-**-*-***.dev.abc.net
notice: Signed certificate request for ip-10-**-*-***.dev.abc.net
notice: Removing file Puppet::SSL::CertificateRequest ip-10-**-*-***.dev.abc.net at '/var/lib/puppet/ssl/ca/requests/ip-10-**-*-***.dev.abc.net.pem'

傀儡特工：

[root@ip-10-**-*-*** /]# puppet agent -t
info: Caching certificate for ip-10-**-*-***.dev.abc.net
err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=ip-10-**-*-***.dev.abc.net]
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run
err: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=ip-10-**-*-***.dev.abc.net]

谁能帮我解决这个问题。

Answer 1

是的，我知道这是一篇旧帖子。它仍然需要一个答案，因为我遇到了同样的问题——现在已经工作了几个星期了。我还不能保证我的工作一直正常。以下是我采取的一些步骤。我希望他们对其他人有所帮助。
我正在运行 Puppet Enterprise 2018.1.4。 RHEL 7.4 上的 Puppet Agent 5.5.6。
1) SSL 例程使用时间戳。确保 Master 和 Client 之间的时间相同。
2）从主服务器和客户端清除/删除代理证书。在我的 RHEL 上，客户端证书位于 /etc/puppetlabs/puppet/ssl/* - 删除此处包含代理名称的所有文件。
3) 确保您的代理启用了您的木偶：木偶代理 --enable
4）如果客户端“有一段时间”没有联系 puppet master，master 会将客户端从其节点列表中删除，但不会删除证书。理论上，主节点应该将节点返回到活动状态。
5）你能在主服务器上运行傀儡代理并获得预期的结果吗？如果不是 -> 傀儡代码有问题，否则，代理有问题。
6) puppet.conf 配置是否正确？
[main] 部分下的服务器条目是否正确？
在 [agent] 下，您是否设置了正确的环境？ noop 设置为 true 吗？
7) 您可能在 puppet 模块中有错误导致代理安静地退出。对所有 .pp 文件运行 puppet 解析器验证
8）master能解析master和client的IP地址吗？
客户端能否解析master和客户端的IP地址？
两台主机上的 resolv.conf 设置是否正确？
9）客户端和主机的主机名应该是正确的。每个服务器都应该知道它的短名称、FQDN 和 IP。在 RHEL 上，我运行：主机名；主机名-f；和主机名 -i。
10）所有目录和模块的文件权限应该是正确的。检查一个工作模块，查看它的所有者、组和权限。确保您的模块是相同的。
11) 只有 root/admin 才能正确运行 puppet 代理。
12) 在 RHEL 上，日志位于 /var/log/puppet 下。你看到那里有任何错误吗？
13) 除了-t 之外，使用--debug 或--trace 选项运行puppet 代理。将此输出通过管道传输到文件中，看看是否可以发现任何错误。
14) 能否强制master在客户端成功运行puppet代理？
其中许多事情一直在缩小我的问题范围。我还不知道它是否已修复，因为节点退出需要一段时间。希望这些能解决您的问题。