Hallo Opsi Forum,
Nach dem upgrae auf OPsi 4.3 startet der Opsi PXE Configuration Service nicht mehr.
Wenn ich ihn starte bekomme ich die Fehlermeldung
ERROR: Opsi service verification error: HTTPSConnectionPool(host='localhost', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1006)')))
Woran liegt das und wie kann man das lösen?
[gelöst] problem beim update auf 4.3
[gelöst] problem beim update auf 4.3
Zuletzt geändert von r4a5a88 am 05 Dez 2023, 08:46, insgesamt 1-mal geändert.
-
j.schneider
- uib-Team
- Beiträge: 2042
- Registriert: 29 Mai 2008, 15:14
Re: problem beim update auf 4.3
Hallo!
Bitte einmal den Befehl
ausführen.
Sind dort Warnungen oder Fehler zu sehen?
Unter Umständen hilft schon ein Neustart von opsiconfd und danach opsipxeconfd.
Grüße
Jan Schneider
Bitte einmal den Befehl
Code: Alles auswählen
opsiconfd health-check
Sind dort Warnungen oder Fehler zu sehen?
Unter Umständen hilft schon ein Neustart von opsiconfd und danach opsipxeconfd.
Grüße
Jan Schneider
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: problem beim update auf 4.3
Er scheint ein Problem mit dem Zertifikat zu haben
ERROR - The opsi CA certificate is expired.
OK - The opsi CA is not a intermediate CA.
OK - The opsi CA key is OK.
OK - The server certificate is OK and will expire in 362 days.
ERROR - Server CN has changed from 'ana-serv-02.dmed.local' to 'ana-serv-02.dmed.uni-heidelberg.de'
das Depot hatte ich auf dmed.local eingerichtet aber das Zertifikate habe ich auf die volle domain
was kann man da tun?
Wo genau muss man die Config anpassen das es wieder passt ? oder wäre es besser ein Cert für die .local Domain zu holen, was nicht geht.
ich habe skip-setup = [ssl] in der opsiconfd.conf aber das scheint nicht zu wirken
ERROR - The opsi CA certificate is expired.
OK - The opsi CA is not a intermediate CA.
OK - The opsi CA key is OK.
OK - The server certificate is OK and will expire in 362 days.
ERROR - Server CN has changed from 'ana-serv-02.dmed.local' to 'ana-serv-02.dmed.uni-heidelberg.de'
das Depot hatte ich auf dmed.local eingerichtet aber das Zertifikate habe ich auf die volle domain
was kann man da tun?
Wo genau muss man die Config anpassen das es wieder passt ? oder wäre es besser ein Cert für die .local Domain zu holen, was nicht geht.
ich habe skip-setup = [ssl] in der opsiconfd.conf aber das scheint nicht zu wirken
-
j.schneider
- uib-Team
- Beiträge: 2042
- Registriert: 29 Mai 2008, 15:14
Re: problem beim update auf 4.3
Die Konfiguration
führt dazu, dass der opsiconfd weder die opsi CA noch die Server-Zertifikate verwaltet.
Das hat in diesem Fall zu einer abgelaufen opsi CA geführt.
Warum wurde das konfiguriert?
Code: Alles auswählen
skip-setup = [ssl]Das hat in diesem Fall zu einer abgelaufen opsi CA geführt.
Warum wurde das konfiguriert?
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: problem beim update auf 4.3
ich kann mich nicht mehr errinnern warum das eingestellt wurde, schätze das es mit eigen Zertifikaten zu tun hat
ohne das verschwindet der Fehler aber
Dez 04 10:46:04 ana-serv-02 opsipxeconfd[2001540]: opsicommon.exceptions.OpsiServicePermissionError: Opsi service permission error: 403 Client
kommt jetzt.
Nachdem ich dann localhost in der opsi.conf durch den DNs name ersetzt habe, bekomme ich ein connection refused
Dort hat er das falsche ssl Zertifikat
ohne das verschwindet der Fehler aber
Dez 04 10:46:04 ana-serv-02 opsipxeconfd[2001540]: opsicommon.exceptions.OpsiServicePermissionError: Opsi service permission error: 403 Client
Code: Alles auswählen
Error: Forbidden for url: https://localhost:4447/rpc
Dez 04 10:46:04 ana-serv-02 opsipxeconfd[2001540]: ERROR: Opsi service permission error: 403 Client Error: Forbidden for url: https://localhost:4447/rpc
Dez 04 10:46:04 ana-serv-02 systemd[1]: opsipxeconfd.service: Control process exited, code=exited, status=1/FAILURE
Nachdem ich dann localhost in der opsi.conf durch den DNs name ersetzt habe, bekomme ich ein connection refused
Code: Alles auswählen
ERROR: Opsi service connection error: HTTPSConnectionPool(host='ana-serv-02.dmed.uni-heidelberg.de', port=4447): Max retries exceeded with url: /rpc (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fdeb5e2ca90>: Failed to establish a new connection: [Errno 111] Connection>Re: problem beim update auf 4.3
Könnte man die Ca certs gegen die ssl certs tauschen und es dadurch lösen ?
-
j.schneider
- uib-Team
- Beiträge: 2042
- Registriert: 29 Mai 2008, 15:14
Re: problem beim update auf 4.3
Das sind jetzt unterschiedliche Probleme.
Die Zertifikate funktionieren jetzt wohl.
Das 403-Problem / Connection-Problem könnte an einem Proxy liegen oder an der opsiconfd-Konfiguration "admin-networks" oder "networks".
Vielleicht auch Namensauflösung oder Firewall.
Die Zertifikate funktionieren jetzt wohl.
Das 403-Problem / Connection-Problem könnte an einem Proxy liegen oder an der opsiconfd-Konfiguration "admin-networks" oder "networks".
Vielleicht auch Namensauflösung oder Firewall.
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: problem beim update auf 4.3
beides ist nicht konfiguriert.
ich hab auch kein Proxy installiert.
ich hab auch kein Proxy installiert.
-
j.schneider
- uib-Team
- Beiträge: 2042
- Registriert: 29 Mai 2008, 15:14
Re: problem beim update auf 4.3
Wenn Proxy und falsche Namensauflösung ausgeschlossen werden können, dann läuft entweder der opsiconfd nicht oder eine Firewall blockiert den Zugriff.r4a5a88 hat geschrieben: ↑04 Dez 2023, 10:55 Nachdem ich dann localhost in der opsi.conf durch den DNs name ersetzt habe, bekomme ich ein connection refusedCode: Alles auswählen
ERROR: Opsi service connection error: HTTPSConnectionPool(host='ana-serv-02.dmed.uni-heidelberg.de', port=4447): Max retries exceeded with url: /rpc (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fdeb5e2ca90>: Failed to establish a new connection: [Errno 111] Connection>
Steht etwas in der /var/log/opsi/opsiconfd/opsiconfd.log ?
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: problem beim update auf 4.3
Das Problem hat sich gelöst.
es war eine Kombination aus vielen Dingen.
1. Der hostname hat ihm nicht gepasst , da ich in der Config .local nutze und der server auch per .de erreichbar ist.
2. ich hab die eigenen Zertifikate raus genommen. Opsi und apache sollten getrennte Zertifikate haben.
3. es gab ne einstellung im samba die er setzen wollte aber die schon gesetzt war
danach konnte sich alle wieder normal starten
es war eine Kombination aus vielen Dingen.
1. Der hostname hat ihm nicht gepasst , da ich in der Config .local nutze und der server auch per .de erreichbar ist.
2. ich hab die eigenen Zertifikate raus genommen. Opsi und apache sollten getrennte Zertifikate haben.
3. es gab ne einstellung im samba die er setzen wollte aber die schon gesetzt war
danach konnte sich alle wieder normal starten