Chef
將刀引導與 Windows 域身份驗證一起使用時,廚師中的“無法獲得本地頒發者證書”
我有一個開源廚師的工作安裝,並正在嘗試將域身份驗證添加到引導 Windows 伺服器。
knife windows
我已經按照文件中的描述創建了 HTTPS 偵聽器。我使用此節點的域證書作為十六進制值。當我嘗試執行以下命令時:
knife bootstrap windows winrm #myip# -r 'role[#myrole#]' -x #MYDOMAIN#\\#myuser# -P '#mypass#' -p 5986 -VV
我收到以下錯誤:
Waiting for remote response before bootstrap. DEBUG: Adding #myip# DEBUG: :session => :init DEBUG: :relay_to_servers => echo . & echo Response received. DEBUG: :relayed => #myip# DEBUG: #myip# => :run_command at depth 1 - 20: unable to get local issuer certificate
由於我用於十六進制值的域證書是 Rackspace 頒發的證書,我認為它可能沒有在廚師伺服器或廚師工作站上註冊為受信任。我已將證書添加到廚師伺服器和工作站上
/usr/local/share/ca-certificates/
並在其上執行。sudo update-ca-certificates
我還在主廚伺服器上添加了.pem
格式證書,/opt/chef-server/embedded/ssl/certs
並/etc/chef/trusted_certs
在主廚工作站上添加了“/opt/chef/embedded/ssl/certs”。要麼我對問題的評估不正確,要麼我沒有正確重新配置證書 - 無論哪種方式,我都迷路了。
根據 Chef 支持,我需要為偵聽器和 Chef 引導命令使用埠 5985 來創建命令:
knife bootstrap windows winrm #myip# -r 'role[#myrole#]' -x #MYDOMAIN#\\#myuser# -P '#mypass#' -p 5985
然後我需要通過以下方式安裝新的(預發布)gem
winrm-s
:gem install winrm-s --pre gem uninstall winrm-s --version '= 0.2.0'
knife-windows
然後我需要通過opscode github安裝最新的預發行版。完成所有這些後,我就可以通過域身份驗證從任何 Windows Chef 工作站引導 Windows 伺服器。