SSL Error seit Update auf 4.3

mschindler
Beiträge: 13
Registriert: 14 Apr 2023, 09:51

Re: SSL Error seit Update auf 4.3

Beitrag von mschindler »

Das Problem haben wir nun mit der Option "Disable Certificate Verification" in der Produkt Option gelöst.
Und die Clienst scheinen nun auch nach einem Neustart das neue Zertifikat zu ziehen.
Benutzeravatar
n.vidziunas
uib-Team
Beiträge: 12
Registriert: 17 Okt 2023, 14:38

Re: SSL Error seit Update auf 4.3

Beitrag von n.vidziunas »

Hallo mschindler,

die Fehlermeldung

Code: Alles auswählen

[4] [2024-02-07 16:28:39.119] [Thread-1       ] setting file savedStatesDir writable failed   (de.uib.configed.ConfigedMain)
zeigt an, dass der Benutzer, mit dem opsi-configed ausgeführt wurde, nicht die richtigen Berechtigungen für das Verzeichnis (das sich in %APPDATA%\opsi.org\configed\<Verzeichnisname> befindet; <Verzeichnisname> ist die IP-Adresse oder der FQDN des Servers) hat. Daher ist er nicht in der Lage, das Zertifikat zu speichern und configed Zustände zu schreiben.

Aber auch in diesem Fall sollten Sie sich mit dem Server verbinden können, wenn Sie auf "Immer vertrauen" klicken. In dem Fall sollte nur das Zertifikat nicht gespeichert, und der Dialog sollte bei der erneuten Anmeldung angezeigt. Das Problem der Dialogschleife sollte jedoch nicht auftreten.

Das Problem der Dialogschleife deutet darauf hin, dass das Server-Zertifikat nicht mit dem Client-Zertifikat verifiziert werden kann. Um zu verstehen, warum das Client- und das Server-Zertifikat nicht verifiziert werden können, wäre es hilfreich, eine Logdatei mit Logstufe 7 zu erhalten. Die von Ihnen zur Verfügung gestellte Datei scheint keine Logs mit Logstufe 7 zu enthalten.
mschindler
Beiträge: 13
Registriert: 14 Apr 2023, 09:51

Re: SSL Error seit Update auf 4.3

Beitrag von mschindler »

Wie stelle ich denn den Opsi-Config auf loglevel 7 for die lokalen logs? einfach --loglevel=7 als Startoption?

------

Aber wir haben auf unseren Opsi Depotservern nun das Problem, dass es mit dem Opsiconfd health-check folgendes ausgibt:

Code: Alles auswählen

● SSL: ERROR
   ➔ Some SSL issues where found.

   OK - The opsi CA certificate is OK and will expire in 724 days.
   OK - The server certificate is OK and will expire in 89 days.
   ERROR - Failed to verify server cert with opsi CA.
Server ist neu aufgesetzt und nur das Repository für den Haupt-/Configserver hinzugefügt.
Er lädt auch die Pakete, aber sobald er sie quasi installieren will kommt folgendes:

Code: Alles auswählen

[3] [2024-02-12 15:10:58.687] [               ] Opsi service verification error: HTTPSConnectionPool(host='localhost', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1006)')))   (opsipackageupdater.py:454)
Traceback (most recent call last):
  File "urllib3/connectionpool.py", line 467, in _make_request
  File "urllib3/connectionpool.py", line 1096, in _validate_conn
  File "urllib3/connection.py", line 642, in connect
  File "urllib3/connection.py", line 782, in _ssl_wrap_socket_and_match_hostname
  File "urllib3/util/ssl_.py", line 470, in ssl_wrap_socket
  File "urllib3/util/ssl_.py", line 514, in _ssl_wrap_socket_impl
  File "ssl.py", line 517, in wrap_socket
  File "ssl.py", line 1108, in _create
  File "ssl.py", line 1383, in do_handshake
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1006)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "urllib3/connectionpool.py", line 790, in urlopen
  File "urllib3/connectionpool.py", line 491, in _make_request
urllib3.exceptions.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1006)

The above exception was the direct cause of the following exception:

Traceback (most recent call last):
  File "requests/adapters.py", line 486, in send
  File "urllib3/connectionpool.py", line 844, in urlopen
  File "urllib3/util/retry.py", line 515, in increment
urllib3.exceptions.MaxRetryError: HTTPSConnectionPool(host='localhost', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1006)')))

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "opsicommon/client/opsiservice.py", line 886, in _request
  File "requests/sessions.py", line 589, in request
  File "requests/sessions.py", line 703, in send
  File "requests/adapters.py", line 517, in send
requests.exceptions.SSLError: HTTPSConnectionPool(host='localhost', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1006)')))

The above exception was the direct cause of the following exception:

Traceback (most recent call last):
  File "opsiutils/opsipackageupdater.py", line 450, in main
  File "opsiutils/opsipackageupdater.py", line 420, in updater_main
  File "opsiutils/update_packages/Updater.py", line 355, in processUpdates
  File "opsiutils/update_packages/Updater.py", line 194, in getDepotBackend
  File "opsiutils/__init__.py", line 42, in get_service_client
  File "opsicommon/client/opsiservice.py", line 724, in connect
  File "opsicommon/client/opsiservice.py", line 905, in _request
opsicommon.exceptions.OpsiServiceVerificationError: Opsi service verification error: HTTPSConnectionPool(host='localhost', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1006)')))
ERROR: Opsi service verification error: HTTPSConnectionPool(host='localhost', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1006)')))
Benutzeravatar
j.schneider
uib-Team
Beiträge: 1804
Registriert: 29 Mai 2008, 15:14

Re: SSL Error seit Update auf 4.3

Beitrag von j.schneider »

Hallo!

Das Problem auf dem Depotserver sollte mit opsiconfd 4.3.7.1 behoben sein.
viewtopic.php?t=13901
Bitte die Server-Pakete aktualisieren.

Grüße
Jan Schneider
mschindler
Beiträge: 13
Registriert: 14 Apr 2023, 09:51

Re: SSL Error seit Update auf 4.3

Beitrag von mschindler »

Okay, mit dem Update funktioniert es nun ohne Probleme.
Benutzeravatar
j.schneider
uib-Team
Beiträge: 1804
Registriert: 29 Mai 2008, 15:14

Re: SSL Error seit Update auf 4.3

Beitrag von j.schneider »

Sehr gut, Danke für die Rückmeldung!
Antworten