SSL Error

[thanks4support]

Moin,

wir nutzen opsi bereits seit mehreren Jahren erfolgreich und sind im Allgemeinen sehr zufrieden. Bei den aktuellen Upgrades sind wir jedoch entweder auf eine elementare Änderung gestoßen, die wir möglicherweise übersehen haben, oder es handelt sich um einen Bug.

In diesen neuen version haben wir den bug – in der 4.3.19.6-1 nicht.
- **opsi-server-full/unknown 4.3.5.0-1** (aktualisierbar von: 4.3.3.3-1)
- **opsi-utils/unknown 4.3.9.1-1** (aktualisierbar von: 4.3.7.2-1)
- **opsi-webgui/unknown 4.3.35-1** (aktualisierbar von: 4.3.34-1)
- **opsiconfd/unknown 4.3.22.4-1** (aktualisierbar von: 4.3.19.6-1)
- **opsipxeconfd/unknown 4.3.5.0-1** (aktualisierbar von: 4.3.3.4-1)

Die Zertifikate sind alle gültig, und der zugehörige Key liegt korrekt im Verzeichnis. An diesen Einstellungen wurde schon seit längerer Zeit keine Änderung vorgenommen.

Die von uns erhaltene Fehlermeldung (nach Wiederherstellung eines Backups) lautete in etwa wie folgt:

Code: Alles auswählen

ERROR: Opsi service verification error: HTTPSConnectionPool(host='localhost', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError(SSLCertVerificationError(Password required))

Dieser Fehler trat stets auf, wenn wir versuchten, Pakete über den Befehl

Code: Alles auswählen

opsi-package-manager -i XXX.opsi

zu installieren. Nach meiner Einschätzung könnte dies darauf hindeuten, dass der private Key nicht mehr korrekt gelesen werden kann.

Ein Health-Check zeigte bisher keine SSL-Fehler an.

Könntet ihr dies bitte prüfen? Vielen Dank im Voraus.

Mit freundlichen Grüßen

[j.schneider]

Hallo,

ist in der opsiconfd.conf eine spezielle ssl-server-key-passphrase gesetzt?
Es könnte helfen den Private-Key und das Zertifikat neu zu erzeugen.
Dafür diese Dateien löschen:
/etc/opsi/ssl/opsiconfd-cert.pem
/etc/opsi/ssl/opsiconfd-key.pem
Und dann den opsiconfd einmal neu starten.

Grüße
Jan Schneider

[thanks4support]

Moin,
danke für das schnelle Feedback, direkt noch mal geupgradet und getestet. Hat leider kein Erfolg gebracht.

unsere opsiconfd.conf:

Code: Alles auswählen

run-as-user = opsiconfd
grafana-internal-url = http://xxx:3000
welcome-page = false
multi-factor-auth = totp_mandatory

Hier der error:

Code: Alles auswählen

Errors occurred:
   Failure while processing Install of package(s) /var/lib/opsi/workbench/XXX/XXX.opsi on depot 'opsi.domain.de':
      Opsi service verification error: HTTPSConnectionPool(host='opsi.domain.de', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError('Client private key is encrypted, password is required'))

ERROR: Failed to process command 'install': 1 errors during the processing of tasks.

Daten sind natürlich neutral gehalten.

Vielleicht noch eine Idee?

Danke und Gruß

[j.schneider]

Bitte mal eine Log-Datei schreiben lassen und die hier posten oder per PN an mich.

Code: Alles auswählen

opsi-package-manager --log-file /tmp/opsi-package-manager.log --log-file-level 7 -i XXX.opsi

[j.schneider]

Das ist wahrscheinlich das gleiche Problem wie hier:
viewtopic.php?t=14261

[thanks4support]

Kann gut sein, einen Proxy nutzen wir auch. Der Proxy ist transparent.
Private Nachricht ist raus, musste etwas raus löschen da nur 60000 Zeichen erlaubt sind.

Mit freundlichen Grüßen

[j.schneider]

Hallo,

ich denke, wir konnten das Problem jetzt lösen.
Bitte einmal die opsi-utils-Version 4.3.10.4 testen.
https://software.opensuse.org//download ... opsi-utils

Vielen Dank!

Grüße
Jan Schneider

[thanks4support]

Moin,

danke geht wieder mit dieser Version.

Viele Grüße