Я пытаюсь масштабировать кукольный сервер, чтобы иметь избыточность, используя DNS с циклическим перебором. вторичный кукольный сервер (версия 7.4.0) настроен на использование центра сертификации основного кукольный сервер:
/etc/puppetlabs/puppet/puppet.conf:
[главный]
ca_name = Puppet CA: puppet-ca-master.company.com
ca_server = кукольный-ca-master.company.com
[агент]
сервер = кукольный-ca-master.company.com
интервал выполнения=1800
На вторичном сервере я отключил службу CA, так как в нем может быть только один центр сертификации. /etc/puppetlabs/puppetserver/services.d/ca.cfg:
# Чтобы включить службу CA, оставьте следующую строку без комментариев
# puppetlabs.services.ca.certificate-authority-service/certificate-authority-service
# Чтобы отключить службу CA, закомментируйте строку выше и раскомментируйте строку ниже
puppetlabs.services.ca.certificate-authority-disabled-service/certificate-authority-disabled-service
puppetlabs.trapperkeeper.services.watcher.filesystem-watch-service/filesystem-watch-service
Я удалил сертификаты из вторичного, чтобы получить сертификат, подписанный сертификатом, из мастера ЦС:
rm -rf /etc/puppetlabs/puppet/ssl && mkdir -p /etc/puppetlabs/puppet/ssl/certs
chmod 0700 /etc/puppetlabs/кукольный/ssl
chown -R кукольный /etc/puppetlabs/puppet/ssl
Однако кукольный сервер служба отказывается запускаться из-за отсутствия сертификата:
2021-09-30T09:06:18.220+02:00 ОШИБКА [async-dispatch-2] [ptinternal] Ошибка при запуске службы!!!
java.lang.IllegalArgumentException: невозможно открыть файл «ssl-cert»: /etc/puppetlabs/puppet/ssl/certs/secondary-puppetserver.company.com.pem
Когда я пытаюсь бежать марионеточный агент -t на вторичном кукольном сервере не удается подписать сертификат:
Не удалось получить сертификат с сервера ЦС; вам может понадобиться подписать сертификат этого агента (secondary-puppetserver.company.com)
Причем генерируется приватный ключ, а не публичный:
ll /etc/puppetlabs/puppet/ssl/public_keys/
всего 0
