Chef

將刀引導與 Windows 域身份驗證一起使用時,廚師中的“無法獲得本地頒發者證書”

  • November 10, 2014

我有一個開源廚師的工作安裝,並正在嘗試將域身份驗證添加到引導 Windows 伺服器。

knife windows我已經按照文件中的描述創建了 HTTPS 偵聽器。我使用此節點的域證書作為十六進制值。

當我嘗試執行以下命令時:

knife bootstrap windows winrm #myip# -r 'role[#myrole#]' -x #MYDOMAIN#\\#myuser# -P '#mypass#' -p 5986 -VV

我收到以下錯誤:

Waiting for remote response before bootstrap.
DEBUG: Adding #myip#
DEBUG: :session => :init
DEBUG: :relay_to_servers => echo . & echo Response received.
DEBUG: :relayed => #myip#
DEBUG: #myip# => :run_command
at depth 1 - 20: unable to get local issuer certificate

由於我用於十六進制值的域證書是 Rackspace 頒發的證書,我認為它可能沒有在廚師伺服器或廚師工作站上註冊為受信任。我已將證書添加到廚師伺服器和工作站上/usr/local/share/ca-certificates/並在其上執行。sudo update-ca-certificates我還在主廚伺服器上添加了.pem格式證書,/opt/chef-server/embedded/ssl/certs/etc/chef/trusted_certs在主廚工作站上添加了“/opt/chef/embedded/ssl/certs”。

要麼我對問題的評估不正確,要麼我沒有正確重新配置證書 - 無論哪種方式,我都迷路了。

根據 Chef 支持,我需要為偵聽器和 Chef 引導命令使用埠 5985 來創建命令:

knife bootstrap windows winrm #myip# -r 'role[#myrole#]' -x #MYDOMAIN#\\#myuser# -P '#mypass#' -p 5985

然後我需要通過以下方式安裝新的(預發布)gem winrm-s

gem install winrm-s --pre
gem uninstall winrm-s --version '= 0.2.0'

knife-windows然後我需要通過opscode github安裝最新的預發行版。

完成所有這些後,我就可以通過域身份驗證從任何 Windows Chef 工作站引導 Windows 伺服器。

引用自:https://serverfault.com/questions/639677