web-dev-qa-db-fra.com

Paysage Ubuntu - La vérification du certificat de serveur a échoué

J'ai installé Landscape sur une nouvelle installation d'Ubuntu 16.04 et j'essaie d'enregistrer des clients avec. Nous avons créé une autorité de certification et signé notre certificat ( https://help.landscape.canonical.com/LDS/SSL ). Nous avons également ajouté le certificat aux certificats de confiance du client.

Nous essayons maintenant de connecter notre client (Ubuntu 16.04) au serveur avec la commande suivante:

Sudo landscape-config --computer-title "Agent" --account-name standalone  --url https://landskap/message-system --ping-url http://landskap/ping --ssl-public-key=/etc/ssl/certs/landscape_server_ca.pem

Après la boîte de dialogue de configuration, ce message d'erreur apparaît:

Les informations SSL du serveur sont incorrectes ou la vérification de la signature échoue! Si le serveur utilise un certificat auto-signé, veillez à bien le renseigner avec le paramètre --ssl-public-key.

Oui, notre serveur s'appelle 'Landskap' ...

Nous avons vérifié sur le client s'il y avait des informations supplémentaires dans /var/log/landscape/broker.log et avons trouvé l'entrée d'erreur suivante.

PyCurlError: Error 60: server certificate verification failed. CAfile: /usr/local/share/ca-certificates/landscape_server_ca.crt CRLfile: none
2017-04-18 14:08:38,978 ERROR    [MainThread] Message exchange failed: server certificate verification failed. CAfile: /usr/local/share/ca-certificates/landscape_server_ca.crt CRLfile: none
2017-04-18 14:08:38,978 INFO     [MainThread] Message exchange failed.
2017-04-18 14:08:38,979 INFO     [MainThread] Message exchange completed in 0.17s.
2017-04-18 14:09:38,982 INFO     [MainThread] Starting urgent message exchange with https://landskap/message-system.
2017-04-18 14:09:39,149 ERROR    [PoolThread-twisted.internet.reactor-0] Error contacting the server at https://landskap/message-system.
Traceback (most recent call last):
  File "/usr/lib/python2.7/dist-packages/landscape/broker/transport.py", line 71, in exchange
    message_api)
  File "/usr/lib/python2.7/dist-packages/landscape/broker/transport.py", line 45, in _curl
    headers=headers, cainfo=self._pubkey, curl=curl))
  File "/usr/lib/python2.7/dist-packages/landscape/lib/fetch.py", line 109, in fetch
    raise PyCurlError(e.args[0], e.args[1])

Aidez nous s'il vous plaît :(

1
Jonas Mock

Impossible de tester actuellement, mais le Guide de démarrage rapide suggère d'ajouter le fichier de certificat à /etc/landscape/client.conf avec cette ligne:

ssl_public_key = /etc/landscape/server.pem
2
Grayson Kent

J'ai récemment lutté avec ce problème aussi. Pour moi, cependant, la solution fournie pour la description du problème limité n’était pas la bonne voie.

Mon problème pour ce même code d'erreur exact était que mon certificat SSL avait expiré. Veuillez consulter mon expérience et connaître les étapes de dépannage pour déterminer le problème sur mon blog à l’adresse suivante: http://realworldnumbers.com/ubuntu-landscape-problems/ .

Essentiellement,

  1. Vérifiez les journaux du courtier sur l'un des systèmes client.

    tail -n 100 /var/log/landscape/broker.log | grep certificate
    
  2. Si vous voyez l'erreur 60, essayez de vérifier le certificat à l'aide de curl. Vérifiez le certificat en utilisant une commande curl sur l'adresse IP du serveur Landscape. Dans mon cas c'était:

    $ curl https://192.168.168.67/message-system
    curl: (60) server certificate verification failed.
    
  3. Utilisez openSSL pour vérifier les détails spécifiques de la chaîne de certificats.

    openssl s_client -connect 192.168.168.67:443
    

    Dans mon cas, les parties importantes de cette sortie qui indiquaient un certificat expiré étaient les suivantes:

    Verify return code: 10 (certificate has expired)
    verify error:num=10:certificate has expired
    notAfter=Sep 23 00:00:19 2017 GMT
    

Vous devrez donc générer et signer un nouveau certificat à l'aide des instructions dans la documentation d'aide de Landscape . Ma recommandation ici est de générer un certificat et une autorité de certification de 30 ans. La valeur par défaut était de 1 an et je ne peux pas imaginer mettre à jour le certificat chaque année. Il ne semble pas y avoir d'alerte à ce certificat expirant dans Landscape même.

0

Nous avons découvert que l'installation de Quickstarter génère déjà un certificat par lui-même. Il n'y a pas besoin d'en générer un autre. Copiez simplement le certificat de /etc/landscape/landscape_server.pem dans le dossier /etc/landscape/ du client. La recommandation de @Grayson Kent était correcte. Ajoutez la ligne suivante au fichier de configuration dans / etc/landscape/client.confssl_public_key = /etc/landscape/landscape_server.pem

0
Jonas Mock

Je viens d’examiner cette nouvelle installation de Landscape à l’aide du quickstart et d’un certificat auto-signé.

La procédure que j'ai suivie pour le réparer était

  1. Copiez le certificat de /etc/ssl/certs/landscape_server_ca.crt sur le serveur Paysage sur le serveur client et placez-le dans/etc/landscape.
  2. Éditez /etc/landscape/client.conf et ajoutez la ligne: ssl_public_key = /etc/landscape/landscape_server_ca.crt
  3. Exécutez à nouveau la demande d'inscription
0
Mick Kerr