Невозможно сгенерировать новые сертификаты кукол с новым хозяином кукол

Question

Создан новый Puppet Master для обновления до Puppet6

Сделал ли «rm -rf / etc / puppetlabs / puppet / ssl» очистку старых сертификатов

После указания старого клиента на новыймастер, клиент не может генерировать новые сертификаты.

Получена ошибка:

Error: /File[/opt/puppetlabs/puppet/cache/facts.d]: Failed to generate additional resources using 'eval_generate': SSL_connect returned=1 errno=0 state=error: certificate verify failed: [unable to get local issuer certificate for /CN={server FQDN}]
Error: /File[/opt/puppetlabs/puppet/cache/facts.d]: Could not evaluate: Could not retrieve file metadata for puppet:///pluginfacts: SSL_connect returned=1 errno=0 state=error: certificate verify failed: [unable to get local issuer certificate for /CN={server FQDN}]

Как мне заставить клиента сгенерировать новый сертификат?

Answer 1

Новый сертификат должен быть сгенерирован на стороне клиента, чтобы он мог быть подписан новым puppetmaster, поэтому существующие сертификаты должны быть удалены на стороне клиента:

rm -rf /var/lib/puppet/ssl

На сервересторона

puppetserver ca clean --certname <hostname_of_client>
rm -rf /opt/puppetlabs/puppet/ssl

Answer 2

Пожалуйста, удалите папку ssl на клиенте марионеток и попробуйте еще раз агент марионеток --waitforcert 60 --test