使用自定義SSL證書引導廚師節點

Question

通過我們的廚師安裝（12.0.3），我們從內部專用CA安裝了新的SSL證書。然而，一旦我們安裝了證書，我們現在試圖引導新節點時，遇到下列錯誤，例如：

C:\ws\devops\chef\cookbooks>knife bootstrap windows winrm WIN-e9073a7mffd.mydomain.local -N CHEF_TEST_DELETE_ME -x administrator -P password -r "recipe[test]" 


WIN-e9073a7mffd.mydomain.local [2015-02-11T17:45:14+00:00] INFO: *** Chef 12.0.3 *** 
WIN-e9073a7mffd.mydomain.local [2015-02-11T17:45:14+00:00] INFO: Chef-client pid: 1644 
WIN-e9073a7mffd.mydomain.local [2015-02-11T17:45:21+00:00] INFO: Client key c:/chef/client.pem is not present - registering 
WIN-e9073a7mffd.mydomain.local [2015-02-11T17:45:21+00:00] ERROR: SSL Validation failure connecting to host: chef.mydomain.local - SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed 
WIN-e9073a7mffd.mydomain.local 
WIN-e9073a7mffd.mydomain.local  ================================================================================ 
WIN-e9073a7mffd.mydomain.local Chef encountered an error attempting to create the client "CHEF_TEST_DELETE_ME" 
WIN-e9073a7mffd.mydomain.local  ================================================================================ 
WIN-e9073a7mffd.mydomain.local 
WIN-e9073a7mffd.mydomain.local [2015-02-11T17:45:21+00:00] FATAL: Stacktrace dumped to c:/chef/cache/chef-stacktrace.out 
WIN-e9073a7mffd.mydomain.local [2015-02-11T17:45:21+00:00] FATAL: NoMethodError: undefined method `run_id' for nil:NilClass 
ERROR: Failed to execute command on WIN-e9073a7mffd.mydomain.local return code 1 

如果我手動添加證書，爲我們的CA爲/opscode/chef/embedded/ssl/certs/cacert.pem文件，則服務器將允許後續引導嘗試。

有關如何解決這個問題的任何想法，以便在第一次嘗試時正確引導節點？

Answer 1

要解決這個問題，你有一些選擇。

• 您的CA證書添加到trusted_certs目錄（見this doc）

• 集ssl_verify_mode在你knife.rb :verify_none（第一次運行成功的client.rb應該從它做）然後分發更新cacert.pem，並與廚師itslef管理目標client.rb（chef_client食譜有這個食譜）

Answer 2

你檢查之間的時間同步節點和廚師服務器？ SSL期望時鐘非常接近，並且產生的錯誤可能看起來相同。