Réinitialiser le certificat d’un poste client Puppet

Bonjour,

Dans mes récentes tribulations avec Puppet (au boulot, j’ai pas l’infrastructure suffisante à la maison justifiant son utilisation, hein :-) Quoi que… 8-| ), j’ai rencontré régulièrement des soucis avec le certificat du poste client Puppet, qui semblait soit corrompu, soit différent de celui enregistré par le master (bizarrement surtout sur Solaris, mais peu importe).

Après quelques tâtonnements (et erreurs grossières comme la suppression de tous les certificats du côté du Master pensant le faire sur un client, pas glop…), voici une procédure qui fonctionne systématiquement :

Sur le Puppet Master :

# puppet cert clean <fqdn du client>

Cela va indiquer au Master d’oublier le certificat du client.

Sur le client :

# find /var/lib/puppet/ssl -type f -exec rm -f {} \; -print
# puppet agent -t

Ces commandes vont faire le ménage dans les certificats du client (celui du CA, du Master, du client lui-même), puis recréer un nouveau certificat pour le poste client, transmis au Master.

Nouvelle étape sur le Puppet Master :

# puppet cert sign <fqdn du client>

Cette commande signe le nouveau certificat du poste client sur le Master.

Retour sur le client :

# puppet agent -t

Et voilà, tout redevient carré.

This entry was posted in Général. Bookmark the permalink.

3 Responses to Réinitialiser le certificat d’un poste client Puppet

  1. rokdun says:

    ah, le bon vieux “find … -exec xxx {} \;” ! En fait, y’a plus simple, d’ailleurs tu connais peut-être (au fait j’ai vu “–type” dans l’article, c’est pas plutôt “-type” avec un seul “-” ? Mais comme le “-” qui précède le “exec” est plus long => une correction automatique du blog ?)

    find /var/lib/puppet/ssl -type f -exec rm -f {} \; -print

    peut être remplacé par :

    find /var/lib/puppet/ssl -type f -print | xargs rm

    L’avantage est que “xargs” va accumuler les arguments et lancer “rm” une seule fois, avec tous les arguments. Ça peut gagner du temps. Ici, ça ne changera rien, mais si on a vraiment une tonne de fichiers à traiter…

    • admin says:

      Bien vu pour le –type, je vais corriger.

      L’inconvénient de xargs est que lorsqu’il y a plus d’un certain nombre de paramètres, ça marche pas (buffet de 8 Ko ?). Dans ce cas présent, c’est pas grave, le problème ne se pose pas. Mais je manipule au boulot des dossiers avec des millions de petits fichiers, et xargs ne marche alors pas. Donc j’ai pris l’habitude du -exec rm -f :-)

  2. rokdun says:

    ah oui, le “- -” est transformé en “-” long par le blog : “–”

Laisser un commentaire