Ubuntu Landscape - Falha na verificação do certificado do servidor

Navegue suas respostas
1

Instalei o Landscape em uma nova instalação do Ubuntu 16.04 e estou tentando registrar clientes nele. Criamos uma CA e assinamos nosso certificado ( link ). Também adicionamos o certificado aos certificados confiáveis no cliente.

Agora tentamos conectar nosso cliente (Ubuntu 16.04) ao servidor com o seguinte comando: 

sudo landscape-config --computer-title "Agent" --account-name standalone  --url https://landskap/message-system --ping-url http://landskap/ping --ssl-public-key=/etc/ssl/certs/landscape_server_ca.pem

Após o diálogo de configuração, esta mensagem de erro aparece:

  

As informações SSL do servidor estão incorretas ou falham na verificação da assinatura!   Se o servidor estiver usando um certificado autoassinado, certifique-se de fornecê-lo com o parâmetro -ssl-public-key.

Sim, nosso servidor é chamado de 'Landskap' ...

Verificamos no cliente, se houver alguma informação adicional em /var/log/landscape/broker.log e encontramos a seguinte entrada de erro. 

PyCurlError: Error 60: server certificate verification failed. CAfile: /usr/local/share/ca-certificates/landscape_server_ca.crt CRLfile: none
2017-04-18 14:08:38,978 ERROR    [MainThread] Message exchange failed: server certificate verification failed. CAfile: /usr/local/share/ca-certificates/landscape_server_ca.crt CRLfile: none
2017-04-18 14:08:38,978 INFO     [MainThread] Message exchange failed.
2017-04-18 14:08:38,979 INFO     [MainThread] Message exchange completed in 0.17s.
2017-04-18 14:09:38,982 INFO     [MainThread] Starting urgent message exchange with https://landskap/message-system.
2017-04-18 14:09:39,149 ERROR    [PoolThread-twisted.internet.reactor-0] Error contacting the server at https://landskap/message-system.
Traceback (most recent call last):
  File "/usr/lib/python2.7/dist-packages/landscape/broker/transport.py", line 71, in exchange
    message_api)
  File "/usr/lib/python2.7/dist-packages/landscape/broker/transport.py", line 45, in _curl
    headers=headers, cainfo=self._pubkey, curl=curl))
  File "/usr/lib/python2.7/dist-packages/landscape/lib/fetch.py", line 109, in fetch
    raise PyCurlError(e.args[0], e.args[1])

Por favor, ajude-nos: (

    
por Jonas Mock 18.04.2017 / 16:04

3 respostas

2

Não é possível testar no momento, mas o Guia de início rápido sugere adicionar o arquivo de certificado a /etc/landscape/client.conf com esta linha: 

ssl_public_key = /etc/landscape/server.pem
    
por Grayson Kent 18.04.2017 / 16:14
0

Descobrimos que a instalação do iniciador rápido já gera um certificado sozinho. Não há necessidade de gerar outro. Basta copiar o certificado de /etc/landscape/landscape_server.pem para a pasta /etc/landscape/ do cliente. A recomendação de @Grayson Kent estava correta. Adicione a seguinte linha ao arquivo de configuração em /etc/landscape/client.conf ssl_public_key = /etc/landscape/landscape_server.pem

    
por Jonas Mock 19.04.2017 / 10:04
0

Eu recentemente lutei com esse problema também. Para mim, no entanto, a solução fornecida para a descrição limitada do problema não era o caminho certo.

Meu problema para o mesmo código de erro é que meu certificado SSL expirou. Por favor, veja minha experiência e etapas de solução de problemas para determinar o problema no meu blog no link .

Essencialmente,

  1. Verifique os registros do agente em um dos sistemas clientes. 

    tail -n 100 /var/log/landscape/broker.log | grep certificate

  2. Se você vir o Erro 60, tente verificar o certificado usando o curl. Verifique o certificado usando um comando curl para o endereço IP do servidor do Landscape. No meu caso, isso foi: 

    $ curl https://192.168.168.67/message-system
curl: (60) server certificate verification failed.

  3. Use o openSSL para verificar os detalhes específicos sobre a cadeia de certificados. 

    openssl s_client -connect 192.168.168.67:443

    No meu caso, as partes importantes dessa saída que indicavam o certificado expirado eram: 

    Verify return code: 10 (certificate has expired)
verify error:num=10:certificate has expired
notAfter=Sep 23 00:00:19 2017 GMT

Você precisará gerar e assinar um novo certificado usando as instruções na documentação de ajuda do cenário . Minha recomendação aqui é gerar uma CA de 30 anos e um certificado. O padrão era 1 ano e não consigo imaginar atualizar o certificado anualmente. Não parece haver um alerta de alerta para este certificado expirado dentro do próprio Landscape.

    
por Patrick Scott Best 06.11.2017 / 00:38
Kubuntu 17.04: Problema com resolução de DNS no Firefox Atribuindo cota de usuário no PureFTP / Pure-FTPD (linha de comando)