Solved: Fehler bei Ubuntu-Updates auf einem von 4 Depotservern

[NorbertKoch]

Hallo,

ich wollte heute meine opsi-Server updaten; eines der Depots möchte nicht:

Ign:3 https://download.opensuse.org/repositor ... untu_22.04 InRelease
Ign:3 https://download.opensuse.org/repositor ... untu_22.04 InRelease
Fehl:3 https://download.opensuse.org/repositor ... untu_22.04 InRelease
Could not handshake: Fehler in der Pull-Funktion. [IP: 195.135.223.226 443]
Paketlisten werden gelesen… Fertig
W: Fehlschlag beim Holen von https://download.opensuse.org/repositor ... /InRelease Could not handshake: Fehler in der Pull-Funktion. [IP: 195.135.223.226 443]
W: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.

Mit

Code: Alles auswählen

wget -q -O - https://download.opensuse.org/repositories/home:/uibmz:/opsi:/4.3:/stable/xUbuntu_22.04/Release.key | sudo apt-key add -

komme ich leider nicht weiter...

Wie kann ich das beheben?

Liebe Grüße
Norbert

[j.schneider]

Hallo,

sind die Pakete ca-certificates und apt-transport-https installiert und aktuell?

Grüße
Jan Schneider

[NorbertKoch]

Hallo Jan,

ja. Aber wenn ich die URL in meinem Browser aufrufe wird mir auch angezeigt, dass das opensuse-Zertifikat ungültig ist.

Das Komische ist nur: Die anderen Server akzeptieren es ja.

Bis auf die Pakete opsi-utils opsi-webgui opsiconfd konnte ich alle manuell updaten.

[NorbertKoch]

Mit

Code: Alles auswählen

apt-get update && apt-get upgrade

(mein Ansible-Job dafür) erhalte ich beim Aufruf auf der VM:

Die folgenden Pakete werden aktualisiert (Upgrade):
opsi-utils opsi-webgui opsiconfd
3 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Es müssen 102 MB an Archiven heruntergeladen werden.
Nach dieser Operation werden 506 kB Plattenplatz freigegeben.
Möchten Sie fortfahren? [J/n] J
Ign:1 https://download.opensuse.org/repositor ... untu_22.04 opsi-utils 4.3.2.10-1
Ign:2 https://download.opensuse.org/repositor ... untu_22.04 opsiconfd 4.3.9.2-1
Ign:3 https://download.opensuse.org/repositor ... untu_22.04 opsi-webgui 4.3.28-1
Ign:1 https://download.opensuse.org/repositor ... untu_22.04 opsi-utils 4.3.2.10-1
Ign:2 https://download.opensuse.org/repositor ... untu_22.04 opsiconfd 4.3.9.2-1
Ign:3 https://download.opensuse.org/repositor ... untu_22.04 opsi-webgui 4.3.28-1
Ign:1 https://download.opensuse.org/repositor ... untu_22.04 opsi-utils 4.3.2.10-1
Ign:2 https://download.opensuse.org/repositor ... untu_22.04 opsiconfd 4.3.9.2-1
Ign:3 https://download.opensuse.org/repositor ... untu_22.04 opsi-webgui 4.3.28-1
Fehl:1 https://download.opensuse.org/repositor ... untu_22.04 opsi-utils 4.3.2.10-1
Could not handshake: Fehler in der Pull-Funktion. [IP: 195.135.223.226 443]
Fehl:2 https://download.opensuse.org/repositor ... untu_22.04 opsiconfd 4.3.9.2-1
Could not handshake: Fehler in der Pull-Funktion. [IP: 195.135.223.226 443]
Fehl:3 https://download.opensuse.org/repositor ... untu_22.04 opsi-webgui 4.3.28-1
Could not handshake: Fehler in der Pull-Funktion. [IP: 195.135.223.226 443]
E: Fehlschlag beim Holen von https://download.opensuse.org/repositor ... _amd64.deb Could not handshake: Fehler in der Pull-Funktion. [IP: 195.135.223.226 443]
E: Fehlschlag beim Holen von https://download.opensuse.org/repositor ... _amd64.deb Could not handshake: Fehler in der Pull-Funktion. [IP: 195.135.223.226 443]
E: Fehlschlag beim Holen von https://download.opensuse.org/repositor ... -1_all.deb Could not handshake: Fehler in der Pull-Funktion. [IP: 195.135.223.226 443]

Es sind also definitiv "nur" die opsi-Pakete und nur auf diesem Depot betroffen.

Das Paket ca-certifcates gibt Folgendes aus:

ca-certificates ist schon die neueste Version (20230311ubuntu0.22.04.1).

Das Paket apt-transport-https dies:

apt-transport-https ist schon die neueste Version (2.4.11).

[wolfbardo]

Eventuell hilft

Code: Alles auswählen

apt reinstall ca-certificates

und dann nach
https://docs.opsi.org/opsi-docs-de/4.3/ ... n/deb.html
die Keys nochmal importieren.

Gruss
Bardo Wolf

[NorbertKoch]

Hallo Bardo,

leider kein Erfolg:

curl: (35) OpenSSL SSL_connect: Die Verbindung wurde vom Kommunikationspartner zurückgesetzt in connection to download.opensuse.org:443
gpg: Keine gültigen OpenPGP-Daten gefunden.

[j.schneider]

Ist da vielleicht noch ein Proxy dazwischen?

[NorbertKoch]

Nein, kein Proxy. Nativer Internetzugang von innen nach außen, unlimitiert.

[ThomasT]

was sagt denn ein

Code: Alles auswählen

curl -Ivv https://download.opensuse.org/repositories/home:/uibmz:/opsi:/4.3:/stable/xUbuntu_22.04/amd64/

Da sollte ja sowas drinstehen:

Code: Alles auswählen

* Connected to download.opensuse.org (195.135.223.226) port 443 (#0)                                                                                                                                                                  [7/403]* ALPN: offers h2,http/1.1                                                                                                                                                                                                                   * TLSv1.3 (OUT), TLS handshake, Client hello (1):                                                                                                                                                                                            *  CAfile: /etc/ssl/certs/ca-certificates.crt                                                                                                                                                                                                *  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_CHACHA20_POLY1305_SHA256
* ALPN: server accepted h2
* Server certificate:
*  subject: CN=mirrorcache.opensuse.org
*  start date: Feb  5 13:37:15 2024 GMT
*  expire date: May  5 13:37:14 2024 GMT
*  subjectAltName: host "download.opensuse.org" matched cert's "download.opensuse.org"
*  issuer: C=US; O=Let's Encrypt; CN=R3
*  SSL certificate verify ok.
* using HTTP/2
* h2h3 [:method: HEAD]
* h2h3 [:path: /repositories/home:/uibmz:/opsi:/4.3:/stable/xUbuntu_22.04/amd64/]
* h2h3 [:scheme: https]
* h2h3 [:authority: download.opensuse.org]
* h2h3 [user-agent: curl/7.88.1]
* h2h3 [accept: */*]
* Using Stream ID: 1 (easy handle 0x564f345f9310)
> HEAD /repositories/home:/uibmz:/opsi:/4.3:/stable/xUbuntu_22.04/amd64/ HTTP/2
> Host: download.opensuse.org
> user-agent: curl/7.88.1
> accept: */*
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing

[NorbertKoch]

Guten Morgen Thomas,

bei der Abfrage erhalte ich diese Meldung:

* Trying 195.135.223.226:443...
* Connected to download.opensuse.org (195.135.223.226) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* OpenSSL SSL_connect: Die Verbindung wurde vom Kommunikationspartner zurückgesetzt in connection to download.opensuse.org:443
* Closing connection 0
* TLSv1.0 (OUT), TLS header, Unknown (21):
* TLSv1.3 (OUT), TLS alert, decode error (562):
curl: (35) OpenSSL SSL_connect: Die Verbindung wurde vom Kommunikationspartner zurückgesetzt in connection to download.opensuse.org:443