forum.opsi.org

Hallo zusammen

Leider klappt es nicht mehr, unser frisch aktualisiertes Opsi (4.2.0.101 [python-opsi=4.2.0.197]) mit unserem eigenen SSL-Zertifikat zu versehen. In Version 4.1 hatte ich in der /etc/opsi/opsiconfd.conf folgendes stehen:

Opsi 4.2 erkennt dies nicht mehr, auch nicht nach Anpassung zu: Und den Befehl kann ich auch nicht mehr ausführen, da dieser nicht mehr existiert (?):

ERROR: option --renew-opsiconfd-cert not recognized

und dies obwohl – zumindest laut Handbuch: https://download.uib.de/opsi4.2/documen ... 4.2-en.pdf – die Option noch existieren sollte.

Zudem habe ich versucht die Zertifikate unter /etc/opsi/ssl mit unseren eigenen zu erstzen, doch auch dies hat keinen Erfolg gebracht.

Kann mir da jemand weiterhelfen?

Philippe C.

Hallo,

der opsiconfd 4.2 führt bei jedem Start sogenannte Setup-Tasks durch.
Diese sorgen dafür, dass der opsiconfd eine lauffähige Umgebung bekommt.
Die Setup-Tasks können auch manuell gestartet werden:
In der Default-Konfiguration erstellen die Setup-Tasks eine "opsi CA" unter: Über diese CA wird dann automatisch ein Private Key / Zertifikat für den opsi-Server erzeugt: Sollten die CA oder das Zertifikat nicht existieren, auslaufen oder aus irgendeinem anderen Grund nicht passen, werden sie automatisch neu erzeugt.
Man kann die Server-Zertifikate also löschen und sie werden dann über die Setup-Tasks neu angelegt.
Der Befehl "opsi-setup --renew-opsiconfd-cert" ist somit nicht mehr erforderlich.
Wir werden die Dokumentation entsprechend korrigieren.

Über die "opsi CA" werden auch alle opsi-Depot-Server automatisch mit Zertifikaten versorgt.
Der opsiconfd kümmert sich weiterhin vollautomatisch um die Verlängerung der CA und der Zertifikate.

Daher empfehlen wir die Verwendung der "opsi CA".
Übrigens kann die CA über einen aktuellen opsi-client-agent automatisch auf die Clients verteilt werden (https://download.uib.de/opsi4.2/documen ... ver2client).

Es können jedoch auch Zertifikate einer anderen CA verwendet werden.
In diesem Fall macht es Sinn die Setup-Tasks so zu konfigurieren, dass keine Prüfung der CA / Zertifikate stattfindet.
Das erreicht man über den folgenden Eintrag in der opsiconfd.conf: Man muss sich dann jedoch selbst darum kümmern Zertifikate und CA rechtzeitig zu erneuern und zu verteilen, insbesondere wenn man den opsi-client-agent so konfiguriert, dass er die Server-Zertifikate prüft (https://download.uib.de/opsi4.2/documen ... ver2client)!

Sollten die eigenen Zertifikate nicht funktionieren, bitte ich um die entsprechenden Meldungen aus der /var/log/opsi/opsiconfd/opsiconfd.log.

Grüße
Jan Schneider

Hallo Jan,

Super, herzlichen Dank für die ausführliche Antwort: in diesem Falle werden wir dann die opsi CA verwenden (und damit keine Sorgen mehr bezüglich der Erneuerung etc. von den Zertifikaten mehr haben).

Gruss,
Philippe C.

Guten Tag zusammen,

ich habe bei unseren Servern eigene SSL Zertifikate abgelegt und in der /etc/opsi/opsiconfd.conf durch folgende Zeilen angepasst:
Nach dem setzen der Rechte und dem Neustart des confd klappt das auch

Nur habe ich nun folgendes Problem: Nach einiger Zeit ersetzt die opsi CA einfach mein eigen hinterlegtes Zertifikat
Das entfernen der folgenden CA Dateien führt leider nur dazu, dass der opsiconfd nicht startet: Durch einen Neustart des confd wird unser eigenes Zertifikat nicht einfach durch die der opsi CA ersetzt.
Es scheint mir eher so, als ob das willkürlich nach einer bestimmten Zeit ersetzt wird.
In der offiziellen Doku finde ich dazu aber leider nichts.

im Log finde ich folgenden Fehler (taucht minütlich auf): Kann ich irgendwie verhindern, dass die opsi CA das hinterlegte Zertifikat ersetzt?
Ist der Dateiort /etc/opsi/ssl/certs/ für das eigene Zertifikat vielleicht ungünstig gewählt?

Ich würde es mal mit in der opsiconfd.conf ausprobieren.

Aus oben genannten Gründen rate ich weiterhin von der Verwendung eigener Zertifikate ab.
Dennoch sollten eigene Zertifikate grundsätzlich funktionieren.
In diesem Fall würde ich in der opsiconfd außer nichts weiter ändern.
Man kann weiterhin die Standardpfade verwenden und das eigenen Zertifikat / Key hier ablegen.

Während der opsiconfd läuft, prüft er in regelmäßigen Abständen, ob die Zertifikate erneuert werden müssen.
Es gab mal einen Bug, dass das trotz skip-setup = [ssl] durchgeführt wurde.
Das könnte hier der Fall sein.
Das Problem wurde in Version 4.2.0.215 behoben.

Bitte auch beachten, dass der ssl-server-key mit der ssl-server-key-passphrase verschlüsselt bzw. entschlüsselt wird.

Hi j.schneider und Thomas,

der Hintergrund warum wir ein selfsigned Zertifikat verwenden ist, dass wir webDAV verwenden wollen für unser opsi WAN Depot, welches wir im Internet routen möchten. Aus Sicherheitsgründen wollen wir nicht, dass alle unsere Rechner der opsi CA vertrauen.

Also hatte ich auf jeden Fall schon drin... Ich versuche Mal die von Ihnen genannten Standardpfade und Dateinamen (auch .pem anstelle von .key) zu belassen für meinen selfsigned Zertifikat, also:

Bitte auch beachten, dass der ssl-server-key mit der ssl-server-key-passphrase verschlüsselt bzw. entschlüsselt wird.

Ich bin mir nicht genau sicher, ob ich das richtig verstehe... Also ich habe den Key von der Passphrase befreit mit dem folgenden Befehl: Ansonsten konnte der confd gar nicht erst gestartet werden.

meine opsiconfd Version ist opsiconfd 4.2.0.204-1, vielleicht liegt es auch daran... ich upgrade es auch mal

Vielen Dank für die Antwort!

LG

Ricky

Wollte kurz Rückmeldung geben, dass nun alles klappt und mein Selfsigned Zertifikat nicht mehr ersetzt wird

Vielen Dank für die Hilfe!

j.schneider hat geschrieben: ↑28 Dez 2021, 18:31 Aus oben genannten Gründen rate ich weiterhin von der Verwendung eigener Zertifikate ab.

Opsi läuft bei mir in Docker und Docker wiederum auf einer gehosteten VM.
Ich müsste bei der VM wahrscheinlich noch ein eigenes Zertifikat einbinden.
Kann es dann da zu Problemen kommen mit der Opsi CA, dass sich das irgendwie beißt? Oder ist das egal?
So weit reichen meine Netzwerkkenntnisse leider nicht...