Lösungen und Tipps von den mpex Profis

mpex Techblog

12.05.2021

Puppet – Problem: CRL has expired

Der Puppet Agent läuft nicht mehr durch und zeigt eine Fehlermeldung: Puppet Agent 'Warning: SSL_connect returned=1 errno=0 state=error: certificate verify failed: [CRL has expired for /CN=puppetserver.example.com]'

Problem

Puppet Agent läuft nicht mehr durch und zeigt eine Fehlermeldung wie diese.
Warning: Unable to fetch my node definition, but the agent run will continue: Warning: SSL_connect returned=1 errno=0 state=error: certificate verify failed: [CRL has expired for /CN=puppetserver.example.com] Error: /File[/var/lib/puppet/facts.d]: Failed to generate additional resources using 'eval_generate': SSL_connect returned=1 errno=0 state=error: certificate verify failed: [CRL has expired for /CN=puppetserver.example.com] Error: /File[/var/lib/puppet/facts.d]: Could not evaluate: Could not retrieve file metadata for puppet:///pluginfacts: SSL_connect returned=1 errno=0 state=error: certificate verify failed: [CRL has expired for /CN=puppetserver.example.com] Error: /File[/var/lib/puppet/lib]: Failed to generate additional resources using 'eval_generate': SSL_connect returned=1 errno=0 state=error: certificate verify failed: [CRL has expired for /CN=puppetserver.example.com] Error: /File[/var/lib/puppet/lib]: Could not evaluate: Could not retrieve file metadata for puppet:///plugins: SSL_connect returned=1 errno=0 state=error: certificate verify failed: [CRL has expired for /CN=puppetserver.example.com] Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=error: certificate verify failed: [CRL has expired for /CN=puppetserver.example.com] Warning: Not using cache on failed catalog Error: Could not retrieve catalog; skipping run

Analyse

Prüfen, ob die CRL tatsächlich abgelaufen ist
openssl crl -in /var/lib/puppet/ssl/crl.pem -text -noout | grep -i "next update"

Lösung

Die CRL Datei von Puppet "/var/lib/puppet/ssl/crl.pem" ist abgelaufen "openssl crl -noout -text -in /var/lib/puppet/ssl/crl.pem" und muss erneuert werden.
  1. Festgestellt wurde dies bei Puppet Clients, auf denen Puppet die CRL-Datei nach einem Revoke nicht aktualisiert hat. Der Grund ist aktuell unbekannt. In einem Fall genügte es, die CRL-Datei zu löschen und Puppet erneut laufen zu lassen. Der Puppet Client bekommt dann die aktuelle CRL vom Server mitgeschickt, sofern der Puppetserver entsprechend konfiguriert ist.
  2. Das kann auch passieren, wenn innerhalb der Lebensdauer der CRL keine Puppet Zertifikate Revokes erfolgt sind, dann ein Dummy-Zertifikat erstellen und revoken, damit wird der "Next Update"-Wert der CRL hochgesetzt.

Kann mpex weiterhelfen?

Mit über 20 Jahren Erfahrung im Bereich Managed Hosting haben wir ein umfangreiches Repertoire an Problemlösungen angesammelt, die uns beim Betrieb von Serverumgebungen auf höchstem technischen Niveau geholfen haben. Unsere Systeme bauen komplett auf Open-Source-Technologien auf. Damit sind wir flexibel und können bei technischen Schwierigkeiten direkt selbst eingreifen. Analog zur Open-Source-Idee haben wir uns für diesen Techblog entschieden, um unsere Expertise und Problemlösungen mit dir zu teilen. Dazu zählen Technologien wie Bacula, Debian, Pacemaker, Puppet, diverse allgemeine Serverprobleme und noch vieles darüber hinaus. Wenn du mehr über unsere individuellen Business-Lösungen erfahren und dich als Admin auf deine Kernkompetenzen konzentrieren möchtest, sprich uns einfach an. Wir realisieren das Managed Hosting deiner Anwendung und kümmern uns in Zukunft um all solche Probleme.

Zum Kontaktformular
mpex GmbH
Weitere Blog Artikel
16.06.2021

Request Tracker – Problem: Fehlermeldung "Resolver RT::URI::fsck_com_rt could not parse fsck.com-rt://..."

Beim Request Tracker werden die Beziehungen in den Tickets nicht mehr angezeigt und es kommt zur Fehlermeldung "Resolver RT::URI::fsck_com_rt could not parse fsck.com-rt://..." im Apache Error Log.

Artikel lesen
09.06.2021

Docker – Probleme beim Ausführen von interaktiven Commands

Da gewisse Paths nicht gefunden werden, kommt es zu Problemen beim Ausführen von interaktiven Commands (meist Shell).

Artikel lesen

Kontaktformular - Sprechen Sie uns an!

Sprechen Sie uns an!

Sie wollen mehr über uns und unsere Leistungen erfahren? Lernen Sie uns im persönlichen Gespräch kennen!

Telefon: +49 30 780 97 180
E-Mail: info@mpex.de