Ich versuche, Ansible so einzurichten, dass es Windows-Hosts verwaltet. Die Hosts verwenden SSL-Zertifikate, die von einer internen Zertifizierungsstelle ausgestellt wurden. Ich habe den Windows-Host gemäß den Anweisungen konfiguriertHier. Aber wenn ich versuche, eine Verbindung mit dem Modul win_ping herzustellen, erhalte ich:
HTTPSConnectionPool(host='[email protected]', port=5986): Max retries exceeded with url: /wsman (Caused by SSLError(SSLError(1, u'[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:618)'),))"
Ich habe bestätigt, dass beim Herstellen einer Verbindung zum Windows-Host auf Port 5986 das von meiner Zertifizierungsstelle ausgestellte Zertifikat verwendet wird. Und ich habe versucht, das Zertifizierungsstellenzertifikat mit ansible_winrm_ca_trust_path als Variable in meiner Hosts-Datei anzugeben, aber das Zertifikat wird nicht validiert. Folgendes habe ich in der Hosts-Datei:
local:
control:
win_test:
hosts:
winhost.mydomain.local:
vars:
ansible_connection: winrm
ansible_user: [email protected]
ansible_password: "#######"
ansible_connection: winrm
ansible_winrm_transport: kerberos
ansible_winrm_ca_trust_path: /home/[email protected]/ansible/CA.cert
Was mache ich also bei der Zertifikatsvalidierung falsch? Zu Ihrer Information: Ich verwende Ansible v2.9.2 mit Python 2.7.5.
Aktualisieren: Ich bin zu Python3 gewechselt und erhalte den gleichen Fehler. Hier ist die ausführliche Ausgabe des Fehlers:
ansible 2.9.2
config file = /home/[email protected]/ansible/ansible.cfg
configured module search path = ['/home/[email protected]/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
ansible python module location = /home/[email protected]/.local/lib/python3.6/site-packages/ansible
executable location = /usr/bin/ansible
python version = 3.6.8 (default, Aug 7 2019, 17:28:10) [GCC 4.8.5 20150623 (Red Hat 4.8.5-39)]
Using /home/[email protected]/ansible/ansible.cfg as config file
setting up inventory plugins
host_list declined parsing /home/[email protected]/ansible/hosts as it did not pass its verify_file() method
script declined parsing /home/[email protected]/ansible/hosts as it did not pass its verify_file() method
auto declined parsing /home/[email protected]/ansible/hosts as it did not pass its verify_file() method
[WARNING]: While constructing a mapping from /home/[email protected]/ansible/hosts, line 12, column 5, found a duplicate dict key (ansible_connection). Using last defined
value only.
Skipping empty key (control) in group (local)
Parsed /home/[email protected]/ansible/hosts inventory source with yaml plugin
Loading callback plugin minimal of type stdout, v2.0 from /home/[email protected]/.local/lib/python3.6/site-packages/ansible/plugins/callback/minimal.py
META: ran handlers
Using module file /home/[email protected]/.local/lib/python3.6/site-packages/ansible/modules/windows/win_ping.ps1
Pipelining is enabled.
<winhost.mydomain.local> ESTABLISH WINRM CONNECTION FOR USER: [email protected] on PORT 5986 TO winhost.mydomain.local
creating Kerberos CC at /tmp/tmpwetofduv
calling kinit with subprocess for principal [email protected]
kinit succeeded for principal [email protected]
<winhost.mydomain.local> WINRM CONNECT: transport=kerberos endpoint=https://winhost.mydomain.local:5986/wsman
<winhost.mydomain.local> WINRM CONNECTION ERROR: HTTPSConnectionPool(host='winhost.mydomain.local', port=5986): Max retries exceeded with url: /wsman (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:877)'),))
Traceback (most recent call last):
File "/home/[email protected]/.local/lib/python3.6/site-packages/urllib3/connectionpool.py", line 672, in urlopen
chunked=chunked,
File "/home/[email protected]/.local/lib/python3.6/site-packages/urllib3/connectionpool.py", line 376, in _make_request
self._validate_conn(conn)
File "/home/[email protected]/.local/lib/python3.6/site-packages/urllib3/connectionpool.py", line 994, in _validate_conn
conn.connect()
File "/home/[email protected]/.local/lib/python3.6/site-packages/urllib3/connection.py", line 394, in connect
ssl_context=context,
File "/home/[email protected]/.local/lib/python3.6/site-packages/urllib3/util/ssl_.py", line 370, in ssl_wrap_socket
return context.wrap_socket(sock, server_hostname=server_hostname)
File "/usr/lib64/python3.6/ssl.py", line 365, in wrap_socket
_context=self, _session=session)
File "/usr/lib64/python3.6/ssl.py", line 773, in __init__
self.do_handshake()
File "/usr/lib64/python3.6/ssl.py", line 1033, in do_handshake
self._sslobj.do_handshake()
File "/usr/lib64/python3.6/ssl.py", line 645, in do_handshake
self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:877)
Antwort1
Ich hatte vor einiger Zeit dasselbe Problem, als ich Python 2.7 verwendete. Das Umstellen von Ansible auf Python 3 löste das Problem. Da Python 2 EOL ist und nicht mehr unterstützt wird, sollten Sie das sowieso tun.
ansible_python_interpreter: /usr/bin/python3Installieren Sie Python 3 (falls es nicht bereits installiert ist) und fügen Sie Ihrer Ansible-Konfigurationsdatei etwas hinzu .