ฉันพยายามที่จะ เซิร์ฟเวอร์หุ่นกระบอกขนาดเพื่อให้มีความซ้ำซ้อน โดยใช้ DNS แบบวนรอบ รอง เซิร์ฟเวอร์หุ่นกระบอก
(เวอร์ชั่น 7.4.0
) ได้รับการกำหนดค่าให้ใช้สิทธิ์ CA จากหลัก เซิร์ฟเวอร์หุ่นกระบอก
:
/etc/puppetlabs/puppet/puppet.conf
:
[หลัก]
ca_name = หุ่นเชิด CA: puppet-ca-master.company.com
ca_server = หุ่นกระบอก ca-master.company.com
[ตัวแทน]
เซิร์ฟเวอร์ = ตุ๊กตา-ca-master.company.com
ระยะวิ่ง=1800
บนเซิร์ฟเวอร์รอง ฉันได้ปิดใช้งานบริการ CA เนื่องจากอาจมีผู้ออกใบรับรองเพียงรายเดียวใน /etc/puppetlabs/puppetserver/services.d/ca.cfg
:
# หากต้องการเปิดใช้งานบริการ CA ให้เว้นบรรทัดต่อไปนี้โดยไม่ต้องใส่ความคิดเห็น
# puppetlabs.services.ca.certificate-authority-service/certificate-authority-service
# หากต้องการปิดใช้งานบริการ CA ให้แสดงความคิดเห็นในบรรทัดด้านบนและยกเลิกการแสดงความคิดเห็นในบรรทัดด้านล่าง
puppetlabs.services.ca.certificate-authority-disabled-service/certificate-authority-disabled-service
puppetlabs.trapperkeeper.services.watcher.filesystem-watch-service/filesystem-watch-service
ฉันได้ลบใบรับรองออกจากใบรับรองรองเพื่อดึงใบรับรองที่ลงชื่อใบรับรองจากต้นแบบ CA:
rm -rf /etc/puppetlabs/puppet/ssl && mkdir -p /etc/puppetlabs/puppet/ssl/certs
chmod 0700 /etc/puppetlabs/หุ่นกระบอก/ssl
chown -R หุ่นเชิด /etc/puppetlabs/puppet/ssl
อย่างไรก็ตาม เซิร์ฟเวอร์หุ่นกระบอก
บริการปฏิเสธที่จะเริ่มต้นเนื่องจากไม่มีใบรับรอง:
2021-09-30T09:06:18.220+02:00 ERROR [async-dispatch-2] [p.t.internal] เกิดข้อผิดพลาดระหว่างการเริ่มบริการ!!!
java.lang.IllegalArgumentException: ไม่สามารถเปิดไฟล์ 'ssl-cert': /etc/puppetlabs/puppet/ssl/certs/secondary-puppetserver.company.com.pem
เมื่อฉันพยายามที่จะวิ่ง ตัวแทนหุ่นเชิด -t
บนเซิร์ฟเวอร์หุ่นสำรองไม่สามารถลงนามใบรับรองได้:
ไม่สามารถดึงใบรับรองจากเซิร์ฟเวอร์ CA; คุณอาจต้องลงชื่อใบรับรองของตัวแทนนี้ (secondary-puppetserver.company.com)
ยิ่งกว่านั้นรหัสส่วนตัวจะถูกสร้างขึ้น แต่ไม่ใช่รหัสสาธารณะ:
ll /etc/puppetlabs/puppet/ssl/public_keys/
รวม 0