Configed: Server-Zertifizierung fehlgeschlagen

Antworten
obstesser
Beiträge: 31
Registriert: 23 Feb 2017, 11:39

Configed: Server-Zertifizierung fehlgeschlagen

Beitrag von obstesser »

Hallo zusammen,

sowohl bei der aktuellen stable-Version des opsi-configed (V. 4.2.20.13) als auch bei der aktuellen experimental-Version (V. 4.2.20.14) erhalte ich die Meldung, dass das Server-Zertifikat nicht überprüft werden konnte:
Das Server-Zertifikat konnte nicht überpüft werden!
Wollen Sie trotzdem eine Verbindung zum Server aufbauen?


opsi CA lokal nicht vorhanden, Prüfung nicht möglich.
Das Einloggen im ConfigEd ist nach manueller Bestätigung ohne Zertifikatsprüfung möglich. Der Wunsch ist, dass es auch mit der Prüfung möglich ist.

Da nicht genau klar ist, wogegen der ConfigEd hier prüft:
Sowohl unter c:\opsi.org\tls\ ist die opsi-ca-cert.pem vom OPSI-Server vorhanden, als auch im Windows-Zertifikatsspeicher ist die "opsi CA" unter "Vertrauenswürdige Stammzertifizierungsstellen" vorhanden. Das Gültigkeitsdatum wurde überprüft - das Zertifikat ist noch bis 2024 gültig. Die Installation der opsi CA erfolgte durch den opsi-client-agent mittels Host-Parameter "opsiclientd.global.install_opsi_ca_into_os_store = true".

Es wird kein eigenes Zertifikat benutzt, sondern dass automatisch vom OPSI-Server erstellte. Kann jemand Erfahrungen beisteuern oder hat eine Idee?

VG, obstesser
martin_esp
Beiträge: 77
Registriert: 31 Dez 2010, 09:45

Re: Configed: Server-Zertifizierung fehlgeschlagen

Beitrag von martin_esp »

Hallo zusammen,

Ich habe heute auf die gleiche Version aktualisiert und habe auch dieses Problem (siehe screenshot).
screenshot
screenshot
2023-04-01 19_44_26-Server Verifizierung Fehlgeschlagen.png (23.02 KiB) 1378 mal betrachtet
VG,
Martin
Benutzeravatar
j.schneider
uib-Team
Beiträge: 1789
Registriert: 29 Mai 2008, 15:14

Re: Configed: Server-Zertifizierung fehlgeschlagen

Beitrag von j.schneider »

Hallo,

die Server-Verfizierung funktioniert folgendermaßen:

Bei der Verbindung wird die opsi CA hier gesucht:

Code: Alles auswählen

%AppData%\opsi.org\configed\<server>\opsi-ca-cert.pem
Ist die CA vorhanden, wird das Server-Zertifikat gegen diese CA geprüft.
Wenn keine Prüfung stattfinden kann (weil die CA fehlt) oder wenn die Prüfung fehlschlägt, erscheint ein Dialog.

"Immer verbinden" lädt die aktuelle opsi CA vom Configserver und speichert sie unter dem angegebenen Pfad ab.
In diesem Fall sollte die Prüfung beim nächsten Verbindungsaufbau funktionieren und der Dialog nicht mehr erscheinen.

"Diesmal verbinden" schaltet die Prüfung temporär aus.


Grüße
Jan Schneider
martin_esp
Beiträge: 77
Registriert: 31 Dez 2010, 09:45

[gelöst] Configed: Server-Zertifizierung fehlgeschlagen

Beitrag von martin_esp »

Danke. Funktioniert genau so wie beschrieben.
VG,
Martin
SirTux
Beiträge: 558
Registriert: 05 Feb 2011, 18:37

Re: Configed: Server-Zertifizierung fehlgeschlagen

Beitrag von SirTux »

j.schneider hat geschrieben: 11 Apr 2023, 15:09 Ist die CA vorhanden, wird das Server-Zertifikat gegen diese CA geprüft.
Wenn keine Prüfung stattfinden kann (weil die CA fehlt) oder wenn die Prüfung fehlschlägt, erscheint ein Dialog.

"Immer verbinden" lädt die aktuelle opsi CA vom Configserver und speichert sie unter dem angegebenen Pfad ab.
In diesem Fall sollte die Prüfung beim nächsten Verbindungsaufbau funktionieren und der Dialog nicht mehr erscheinen.

"Diesmal verbinden" schaltet die Prüfung temporär aus.
Das sollte IMO im Dialog deutlicher erklärt werden. Noch besserer wäre es, wenn zur Überprüfung auch der System-CA-Store verwendet werden würde. Das würde vermeiden, daß man die CA einmal abnicken muß. Letzteres hatte ich auch erwartet, als ich den Changelog gelesen hatte.
cgiesers
Beiträge: 44
Registriert: 22 Feb 2017, 02:11

Re: Configed: Server-Zertifizierung fehlgeschlagen

Beitrag von cgiesers »

j.schneider hat geschrieben: 11 Apr 2023, 15:09 "Immer verbinden" lädt die aktuelle opsi CA vom Configserver und speichert sie unter dem angegebenen Pfad ab.
In diesem Fall sollte die Prüfung beim nächsten Verbindungsaufbau funktionieren und der Dialog nicht mehr erscheinen.

"Diesmal verbinden" schaltet die Prüfung temporär aus.


Grüße
Jan Schneider
Mit Opsi Config Editor 4.2.21.1 hatte ich vorhin ziemliches Theater.
Der Dialog am permanent, egal was von beide ich wählte. Die Zertifikatsdatei war vorhanden und wurde mit jedem Klick neu geschrieben.
Opsi Configed war nicht mehr benutzbar.

Das Update auf opsiconfd (4.2.0.310-1) hat das Problem jetzt gelöst.

Gruß!
- Christof
Antworten