吊銷木偶證書活性木偶清潔

Question

後我撤消節點的木偶中的證書：

puppet revoke node1.example.com 

按預期該證書撤銷。

- "node1.example.com" (SHA1) 05:88:D6:73:C0:35:3C:25:89:0C:7E:CE:DC:A6:39:76:13:C4:46:C3 (certificate revoked) 

運行後：

puppet cert clean node2.example.com 

節點2的證書已被吊銷，並正確地刪除，但節點1的證書再度活躍。

+ "node1.example.com" (SHA1) 05:88:D6:73:C0:35:3C:25:89:0C:7E:CE:DC:A6:39:76:13:C4:46:C3 

這是錯誤還是功能？

木偶版本是3.7.3

Answer 1

你的節點還在試圖運行木偶嗎？如果您刪除節點並且節點連接到puppet，它可能會再次生成一個新的證書。

我建議刪除證書並在調試模式下在node1上運行puppet，看看會發生什麼。

它會提及缺少的證書以及客戶如何對此做出反應。

如果你不想讓這個節點能夠連接，那麼就撤銷它。

如果不是這種情況，您應清除puppet master文件夾中的證書並重新啓動puppet master。 （可能是一個bug）

Answer 2

我遇到了同樣的問題。我吊銷了一個主機證書： puppet cert --revoke host1.example.com

我確認host1證書已經加入到crl中，重新啓動puppetmaster並且客戶端確實被禁止。

我打掃其他的主機證書： 木偶證書--clean host2.example.com

我確認主機1證書從CRL和host2證書REMOVED加入它。

現在host1可以運行puppet，host2不能運行。