参考
-
How to renew expired puppetmaster certificates? - Ask Puppet: Puppet DevOps Q&A Community
- 5年ほどで期限切れる様子
エラー
puppetclientにて実施
sudo puppet agent --test --noop
info: Not using expired certificate for ca from cache; expired
puppetmasterにて実施
% sudo puppet cert --list --all
(certificate has expired)
- server.com (FF:FF:FF:FF:FF:FF:FF:FF:FF:FF:FF:FF:FF:FF:FF:FF) (certificate has expired)
対応
puppet master
puppetmasterにて実施
mv /var/lib/puppet/ssl /var/lib/puppet/ssl.bak.`date -I`
puppetmasterサービスrestart
/sbin/service puppetmaster restart
puppet client
puppetclientにて実施
mv /var/lib/puppet/ssl /var/lib/puppet/ssl.bak.`date -I`
puppetサービスrestart
/sbin/service puppet restart
puppet client で使用するメッセージダイジェスト設定
puppet client が 2系かつCentOS6の時必要。
sudo /usr/bin/puppet agent --server server.com --test --noop
Could not request certificate: unknown message digest algorithm
このエラーが発生する原因はopensslのバージョンがあがったせいです
puppet3.0はSHA256を使用するようになっています
mv /etc/pki/tls/legacy-settings /etc/pki/tls/legacy-settings.bak.`date -I`
echo "LegacySigningMDs md5" >> /etc/pki/tls/legacy-settings
puppet master
signする
sudo puppet cert --list --all
sudo puppet cert --sign client.com