RedHatキックスタートファイルのダウンロードでSSL証明書の検証をオフにする方法
私は フォアマン を使用しています。RedHat6.0をipxeで起動します(ただし、それは問題ではありません;)
起動に使用されるカーネルパラメータは次のとおりです。
kernel http://192.168.1.5/dist/rhel/6.0/os/x86_64/images/pxeboot/vmlinuz ks=https://puppet.at.internal/unattended/provision ksdevice=bootif network kssendmac
AnacondaがKSファイルを読み込もうとすると、次のエラーが発生します。
ダウンロードエラー https://puppet.at.internal/unattended/provision :SSL CA証明書の問題(パス?アクセス権?)
残念ながら、グーグルはレッドハットのドキュメントと同じくらい役に立ちます-SSL検証をオフにする方法についての情報はありません:(ドメインとしてat.internalを使用しているので、公式の証明書も取得できませんが、会社の制限のため、httpsを使用する必要があります。 ..
CA(またはcertfile)をbootcmdとして追加できるかどうかも問題ありません。
よろしくお願いします!
Anacondaオプションを使用するnoverifyssl SSL証明書のチェックを無効にする
私がこれに遭遇した後、SSL検証をオフにする構成オプションの名前がに変更されたようです
md.noverifyssl
http://man7.org/linux/man-pages/man7/dracut.cmdline.7.html を参照してください。
私の知る限り、CentOS 7と不適切なSSL認証URLでホストされているキックスタートファイルを使用したテストでは、カーネル行でnoverifysslを指定することはできません。
noverifysslはAnacondaフラグですが、Anacondaはこのコマンドを解析しません。initrd.imgは解析します。
次のテストを試しました。
..は、すべてのテストで同じままだったため、この行を示します
vmlinuz initrd=initrd.img inst.stage2=[auto-populated stage 2 path]
.. ks=https://my.badly.certd-url.com/dummy/url.ks noverifyssl
結果:安全でないCA証明書に対するcurlエラー、フラグを無視しました
.. ks=https://my.badly.certd-url.com/dummy/url.ks --noverifyssl
結果:安全でないCA証明書に対するcurlエラー、フラグを無視しました
.. ks="https://my.badly.certd-url.com/dummy/url.ks -k"
これを試して、-kフラグをcurlに渡して、安全でない接続を許可できるかどうかを確認しました。結果:カールエラー、引用符のために解析できませんでした
.. ks=https://my.badly.certd-url.com/dummy/url.ks\ -k
これを試して、-kフラグをcurlに渡して、安全でない接続を許可できるかどうかを確認しました。結果:安全でないCA証明書に対するcurlエラー、フラグを無視しました
エラーの後、インストールプロセスがdracut緊急シェルにダンプされたときに実行しました
> curl -k https://my.badly.certd-url.com/dummy/url.ks
そしてそれは私の.ksファイルを返しました。
この問題を完全に回避し、適切な証明書を使用して別のサーバーでスクリプトを再ホストすることで、この問題を自分で解決しました。 githubリポジトリを使用して、.ksファイルの生のURLを指定しました。
SSLベースのアプリケーションがSSL接続の信頼性をチェックできるようにするCA証明書があることを確認してください。それらは次の方法でインストールできます。
Sudo apt-get install ca-certificates openssl
お持ちの場合は、再インストールを検討してください
関連: