论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2012-07-12 12:30 |只看该作者 |倒序浏览

之前Puppet里面添加新机器没发现有这个问题，今天加的时候突然发现报下面这个错
[root@APP01001 ~]# puppetd --server puppetdmaster.m.int.cn --test
notice: Ignoring --listen on onetime run
err: Could not retrieve catalog from remote server: certificate verify failed
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run

我google了一下，发现好多人都说时间同步问题，但是我查过时间同步，都是统一用我们自己的时间同步服务器，时间一模一样
签证已经完在，我在puppetdmaster服务器上面用puppetca 能过找到证书

我试用把APP01001 的/var/lib/puppet移走就会报以下错，这个是说明master上面的证书跟client的证书不匹配. 这个也说明我证书签证是OK的。怎么总是报认证失败呢？哪位大侠来帮忙！！！
[root@APP01001 ~]# puppetd --server puppetdmaster.m.int.cn --test
info: Creating a new SSL key for idc007gz1283x.m.int.cn
warning: peer certificate won't be verified in this SSL session
info: Caching certificate for ca
warning: peer certificate won't be verified in this SSL session
info: Caching certificate for idc007gz1283x.m.int.cn
err: Could not request certificate: Retrieved certificate does not match private key; please remove certificate from server and regenerate it with the current key
Exiting; failed to retrieve certificate and waitforcert is disabled

文库|博客

shendaizhi

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2012-07-13 10:27 |只看该作者

自己顶一下..

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

7717060

版主

论坛徽章:: 0

3楼 [报告]

发表于 2012-07-13 10:30 |只看该作者

1.上边这个可以将相应密钥删除，进行重新签发
2.下边这提示时密钥没有被主机签名。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shendaizhi

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2012-07-13 11:37 |只看该作者

谢谢wds ,我已经重新签证过了. 还是一样的报错 .
我怕自动签证有问题，还特意把自动签证关掉，手动在重新签证一次，而且还重启了puppetmaster服务，但结果还是一样！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

litao941

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2012-07-13 13:37 |只看该作者

跟主机名的设置有关，检查一下

主机名不匹配，
可能你的/etc/hosts 下/etc/sysconfig/network 下都没有问题，
但 cat /etc/resolv.conf
看看
search localdomain
有木有被注释掉
产生证书的过程是搜索域，如果没有完整的话，会默认的在主机后面加上 hostname.localdomain
客户端拿到证书后，再去跟主机名匹配后，发现不一致了。
解决方法：
1。 mark 掉上面的，
2。或者用完整主机名(带 . 的）

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shendaizhi

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2012-07-13 14:20 |只看该作者

谢谢您的回答 litao941
检查了/etc/hosts /etc/sysconfig/network /etc/resolv.conf 都没有问题！
您说的 mark 掉上面的和用完整的主机名是什么意思？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shendaizhi

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2012-07-17 11:11 |只看该作者

问题解决了！  分享给大家吧
报这种错的原因我分析一下有这几种！
1. 时间同步问题检查master和client之前时间是否不一样
2.  /etc/resolv.conf里面有search localdomain
3. 就是我碰到的问题
      puppet前做了nginx代理！因为之前测试puppet的时候nginx已经开启，nginx指定了puppet的key已经写到内存里面去了，所以当我删除puppet的key后，在新加服务器的时候就会出现这个问题！解决办法重启nginx 和puppetdmaster