Seite 1 von 1
[gelöst] problem beim update auf 4.3
Verfasst: 01 Dez 2023, 13:26
von r4a5a88
Hallo Opsi Forum,
Nach dem upgrae auf OPsi 4.3 startet der Opsi PXE Configuration Service nicht mehr.
Wenn ich ihn starte bekomme ich die Fehlermeldung
ERROR: Opsi service verification error: HTTPSConnectionPool(host='localhost', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1006)')))
Woran liegt das und wie kann man das lösen?
Re: problem beim update auf 4.3
Verfasst: 04 Dez 2023, 07:12
von j.schneider
Hallo!
Bitte einmal den Befehl
ausführen.
Sind dort Warnungen oder Fehler zu sehen?
Unter Umständen hilft schon ein Neustart von opsiconfd und danach opsipxeconfd.
Grüße
Jan Schneider
Re: problem beim update auf 4.3
Verfasst: 04 Dez 2023, 08:44
von r4a5a88
Er scheint ein Problem mit dem Zertifikat zu haben
ERROR - The opsi CA certificate is expired.
OK - The opsi CA is not a intermediate CA.
OK - The opsi CA key is OK.
OK - The server certificate is OK and will expire in 362 days.
ERROR - Server CN has changed from 'ana-serv-02.dmed.local' to 'ana-serv-02.dmed.uni-heidelberg.de'
das Depot hatte ich auf dmed.local eingerichtet aber das Zertifikate habe ich auf die volle domain
was kann man da tun?
Wo genau muss man die Config anpassen das es wieder passt ? oder wäre es besser ein Cert für die .local Domain zu holen, was nicht geht.
ich habe skip-setup = [ssl] in der opsiconfd.conf aber das scheint nicht zu wirken
Re: problem beim update auf 4.3
Verfasst: 04 Dez 2023, 10:25
von j.schneider
Die Konfiguration
führt dazu, dass der opsiconfd weder die opsi CA noch die Server-Zertifikate verwaltet.
Das hat in diesem Fall zu einer abgelaufen opsi CA geführt.
Warum wurde das konfiguriert?
Re: problem beim update auf 4.3
Verfasst: 04 Dez 2023, 10:55
von r4a5a88
ich kann mich nicht mehr errinnern warum das eingestellt wurde, schätze das es mit eigen Zertifikaten zu tun hat
ohne das verschwindet der Fehler aber
Dez 04 10:46:04 ana-serv-02 opsipxeconfd[2001540]: opsicommon.exceptions.OpsiServicePermissionError: Opsi service permission error: 403 Client
Code: Alles auswählen
Error: Forbidden for url: https://localhost:4447/rpc
Dez 04 10:46:04 ana-serv-02 opsipxeconfd[2001540]: ERROR: Opsi service permission error: 403 Client Error: Forbidden for url: https://localhost:4447/rpc
Dez 04 10:46:04 ana-serv-02 systemd[1]: opsipxeconfd.service: Control process exited, code=exited, status=1/FAILURE
kommt jetzt.
Nachdem ich dann localhost in der opsi.conf durch den DNs name ersetzt habe, bekomme ich ein connection refused
Code: Alles auswählen
ERROR: Opsi service connection error: HTTPSConnectionPool(host='ana-serv-02.dmed.uni-heidelberg.de', port=4447): Max retries exceeded with url: /rpc (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fdeb5e2ca90>: Failed to establish a new connection: [Errno 111] Connection>
Dort hat er das falsche ssl Zertifikat
Re: problem beim update auf 4.3
Verfasst: 04 Dez 2023, 10:57
von r4a5a88
Könnte man die Ca certs gegen die ssl certs tauschen und es dadurch lösen ?
Re: problem beim update auf 4.3
Verfasst: 04 Dez 2023, 11:34
von j.schneider
Das sind jetzt unterschiedliche Probleme.
Die Zertifikate funktionieren jetzt wohl.
Das 403-Problem / Connection-Problem könnte an einem Proxy liegen oder an der opsiconfd-Konfiguration "admin-networks" oder "networks".
Vielleicht auch Namensauflösung oder Firewall.
Re: problem beim update auf 4.3
Verfasst: 04 Dez 2023, 13:08
von r4a5a88
beides ist nicht konfiguriert.
ich hab auch kein Proxy installiert.
Re: problem beim update auf 4.3
Verfasst: 04 Dez 2023, 17:31
von j.schneider
r4a5a88 hat geschrieben: ↑04 Dez 2023, 10:55
Nachdem ich dann localhost in der opsi.conf durch den DNs name ersetzt habe, bekomme ich ein connection refused
Code: Alles auswählen
ERROR: Opsi service connection error: HTTPSConnectionPool(host='ana-serv-02.dmed.uni-heidelberg.de', port=4447): Max retries exceeded with url: /rpc (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fdeb5e2ca90>: Failed to establish a new connection: [Errno 111] Connection>
Wenn Proxy und falsche Namensauflösung ausgeschlossen werden können, dann läuft entweder der opsiconfd nicht oder eine Firewall blockiert den Zugriff.
Steht etwas in der /var/log/opsi/opsiconfd/opsiconfd.log ?
Re: problem beim update auf 4.3
Verfasst: 05 Dez 2023, 08:45
von r4a5a88
Das Problem hat sich gelöst.
es war eine Kombination aus vielen Dingen.
1. Der hostname hat ihm nicht gepasst , da ich in der Config .local nutze und der server auch per .de erreichbar ist.
2. ich hab die eigenen Zertifikate raus genommen. Opsi und apache sollten getrennte Zertifikate haben.
3. es gab ne einstellung im samba die er setzen wollte aber die schon gesetzt war
danach konnte sich alle wieder normal starten