SSL Error seit Update auf 4.3

[mschindler]

Guten Tag,

wir haben Seit gestern SSL Errors mit unseren LetsEncrypt erstellen Zertifikaten in OPSI.

der opsiconfd --health-check bringt folgendes:

Code: Alles auswählen

● SSL: ERROR
   ➔ Some SSL issues where found.

   WARNING - The opsi CA certificate is OK but will expire in 89 days.
   ERROR - The opsi CA is an intermediate CA and a problem has been found: Opsi CA is an intermediate CA, issuer is '/C=US/O=Let', unable to get local issuer certificate.
   Make sure issuer certficate is in '/usr/lib/opsiconfd/certifi/cacert.pem' or specify a certificate database containing the issuer certificate via --ssl-trusted-certs.
   OK - The opsi CA key is OK.
   OK - The server certificate is OK and will expire in 89 days.
   ERROR - Failed to verify server cert with opsi CA.

in der /etc/opsi/opsiconfd.conf haben wir folgendes eintragen:

Code: Alles auswählen

skip-setup = [ssl, opsi_ca]

ssl-ca-subject-cn = opsi.domain.com
ssl-ciphers = TLSv1.2, TLSv1.3
ssl-ca-cert = /etc/opsi/ssl/letsencrypt/fullchain.pem
ssl-ca-key = /etc/opsi/ssl/letsencrypt/privkey.pem
ssl-server-cert = /etc/opsi/ssl/letsencrypt/fullchain.pem
ssl-server-key = /etc/opsi/ssl/letsencrypt/privkey.pem

und wenn wir den opsi-package-updater -v update ausführen, gibt er folgendes aus:

Code: Alles auswählen

[3] [2024-02-06 11:19:08.048] [               ] Failed to get interface description: Opsi service connection error: Could not find a suitable TLS CA certificate bundle, invalid path: /etc/opsi/ssl/opsi-ca-cert.pem   (opsiservice.py:807)
Traceback (most recent call last):
  File "opsicommon/client/opsiservice.py", line 886, in _request
  File "requests/sessions.py", line 589, in request
  File "requests/sessions.py", line 703, in send
  File "requests/adapters.py", line 458, in send
  File "requests/adapters.py", line 261, in cert_verify
OSError: Could not find a suitable TLS CA certificate bundle, invalid path: /etc/opsi/ssl/opsi-ca-cert.pem

The above exception was the direct cause of the following exception:

Traceback (most recent call last):
  File "opsicommon/client/opsiservice.py", line 805, in connect
  File "opsicommon/client/opsiservice.py", line 1178, in jsonrpc
  File "opsicommon/client/opsiservice.py", line 1094, in post
  File "opsicommon/client/opsiservice.py", line 989, in request
  File "opsicommon/client/opsiservice.py", line 931, in _request
opsicommon.exceptions.OpsiServiceConnectionError: Opsi service connection error: Could not find a suitable TLS CA certificate bundle, invalid path: /etc/opsi/ssl/opsi-ca-cert.pem
[3] [2024-02-06 11:19:08.051] [               ] 'ServiceClient' object has no attribute 'host_getObjects'   (opsipackageupdater.py:454)
Traceback (most recent call last):
  File "opsiutils/opsipackageupdater.py", line 450, in main
  File "opsiutils/opsipackageupdater.py", line 418, in updater_main
  File "opsiutils/update_packages/Updater.py", line 115, in __init__
AttributeError: 'ServiceClient' object has no attribute 'host_getObjects'
ERROR: 'ServiceClient' object has no attribute 'host_getObjects'

[j.schneider]

Hallo,

opsi verwendet eine eigene CA, die auch als Intermediate-CA betrieben werden kann.
Andere Zertifikate werden nicht unterstützt.

https://docs.opsi.org/opsi-docs-de/4.3/ ... ver2client

Aus welchen Gründen soll ein Let's Encrypt-Zertifikat verwendet werden?

Grüße
Jan Schneider

[mschindler]

Hallo,

Also wenn der Vorschlag nun war, alle SSL Optionen auszukommentieren, dann erstellt sich Opsi wieder ein Zertifikat und der Updater läuft aufm Server wieder durch.
Allerdings haben ich nun im Opsi-Configed auf Windows und Mac folgendes Problem:

2024-02-07 12_53_12-Server-Verifizierung fehlgeschlagen.png (18.6 KiB) 466 mal betrachtet

[koepkek]

Hallo

diese Abfrage kann beim ersten mal mit "Immer vertrauen" beantwortet werden. Dann wird das Zertifikat vom Server auf dem Client gespeichert und zukünftig nicht mehr danach gefragt.

Viele Grüße
Karsten Köpke

[mschindler]

Hallo,

Leider bringt der Knopf mit "Immer Vertrauen" nichts mehr. Die Meldung kommt nochmal erneut. Egal wie oft ich darauf drücke.
Auch hab ich eine neue Version von https://tools.43.opsi.org/stable/ probiert.

[mschindler]

Abgesehen davon, scheinen die Clients nun auch keine Verbindung über webdavs mit dem Depot aufzubauen.

[j.schneider]

Hallo,

damit der Webdav-Mount funktioniert, muss die opsi CA in den Zertifikats-Store des Betriebssystems eingespielt werden.

Code: Alles auswählen

opsiclientd.global.install_opsi_ca_into_os_store = true

Das ist auch in dem verlinkten Kapitel der Dokumentation beschrieben.

Der opsi-configed scheint ein Problem mit dem Download der opsi CA zu haben.
Tauchen jetzt noch Fehler im Health-Check auf?

Grüße
Jan Schneider

[mschindler]

Okay, Die Variable war nicht gesetzt, bzw. steht nun auf True.

Im Health-Check gibt es nun keine SSL Fehler mehr.

[j.schneider]

Wenn der configed weiterhin Problem macht, bitte einmal in die Log-Datei schauen.

%APPDATA%\opsi.org\log\configed.log

[mschindler]

Dort steht nur folgendes drin:

Code: Alles auswählen

[1] [2024-02-07 16:28:29.084] [main           ] Configed version 4.3.1.0 (2023-11-14) starting
[4] [2024-02-07 16:28:39.119] [Thread-1       ] setting file savedStatesDir writable failed   (de.uib.configed.ConfigedMain)