Hallo,
der opsiconfd 4.2 führt bei jedem Start sogenannte
Setup-Tasks durch.
Diese sorgen dafür, dass der opsiconfd eine lauffähige Umgebung bekommt.
Die Setup-Tasks können auch manuell gestartet werden:
In der Default-Konfiguration erstellen die Setup-Tasks eine "opsi CA" unter:
Code: Alles auswählen
/etc/opsi/ssl/opsi-ca-key.pem
/etc/opsi/ssl/opsi-ca-cert.pem
Über diese CA wird dann automatisch ein Private Key / Zertifikat für den opsi-Server erzeugt:
Code: Alles auswählen
/etc/opsi/ssl/opsiconfd-key.pem
/etc/opsi/ssl/opsiconfd-cert.pem
Sollten die CA oder das Zertifikat nicht existieren, auslaufen oder aus irgendeinem anderen Grund nicht passen, werden sie automatisch neu erzeugt.
Man kann die Server-Zertifikate also löschen und sie werden dann über die Setup-Tasks neu angelegt.
Der Befehl "opsi-setup --renew-opsiconfd-cert" ist somit nicht mehr erforderlich.
Wir werden die Dokumentation entsprechend korrigieren.
Über die "opsi CA" werden auch alle opsi-Depot-Server automatisch mit Zertifikaten versorgt.
Der opsiconfd kümmert sich weiterhin vollautomatisch um die Verlängerung der CA und der Zertifikate.
Daher empfehlen wir die Verwendung der "opsi CA".
Übrigens kann die CA über einen aktuellen opsi-client-agent automatisch auf die Clients verteilt werden (
https://download.uib.de/opsi4.2/documen ... ver2client).
Es können jedoch auch Zertifikate einer anderen CA verwendet werden.
In diesem Fall macht es Sinn die Setup-Tasks so zu konfigurieren, dass keine Prüfung der CA / Zertifikate stattfindet.
Das erreicht man über den folgenden Eintrag in der opsiconfd.conf:
Man muss sich dann jedoch selbst darum kümmern Zertifikate und CA rechtzeitig zu erneuern und zu verteilen, insbesondere wenn man den opsi-client-agent so konfiguriert, dass er die Server-Zertifikate prüft (
https://download.uib.de/opsi4.2/documen ... ver2client)!
Sollten die eigenen Zertifikate nicht funktionieren, bitte ich um die entsprechenden Meldungen aus der /var/log/opsi/opsiconfd/opsiconfd.log.
Grüße
Jan Schneider