CERTIFICATE_VERIFY_FAILED https://appcenter.software-univention.de

ssl
proxy
installation

#1

Hallo und guten Tag,
ich starte heute mit dem UCS bzw. würde gerne damit starten. Von daher bin ich neu hier und bitte um Nachsicht wenn meine Anfrage falsch positioniert sein sollte oder ich mich einfach nur Dumm anstelle.
Ich gelobe jedenfalls Besserung.
Mein Plan ist es, den UCS innerhalb unseres Netzwerkes aufzustellen. Aus diesem Netzwerk ist das Internet aber ausschließlich über einen transparenten Proxy zu erreichen. Dieser entschlüsselt sämtlichen ssl Verkehr und prüft diesen und verschlüsselt diesen neu. Damit man also ohne Zertifikatsfehler surfen kann, muss jedes System das Zertifikat dieses Proxys installiert haben.
Das hat nichts mit unserer Domäne zu tun, Frage geht das ? Und wenn ja, wie?
Bis dahin kann ich leider keine weiteren Apps installieren:

Es gibt ein Problem mit dem Zertifikat des App Center Servers https://appcenter.software-univention.de.
([SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:581))

Für sachdienliche Hinweise bin ich offen, vielen Dank vorab.
Gruß, Det


#2

Moin,

ich würde hier das CA-Zertifikat auf dem normalen Debian-Weg im System installieren, in der Hoffnung, dass auch die Python-Bibliotheken die vertrauenswürdigen CA-Zertifikate auf diesem Weg ermitteln. Grob gesehen geht das wie folgt:

  1. CA-Zertifikat auf dem System im /usr/local/share/ca-certificates ablegen. Format muss PEM sein, Dateiendung muss .crt lauten (das ist wichtig!).
  2. Nun update-ca-certificates ausführen. Dies sollte u.a. so etwas ausgeben: 1 added, 0 removed; done.
  3. Prüfen, ob’s geklappt hat: dann sollte in /etc/ssl/certs ein Symlink existieren, der auf die neue Datei in /usr/local/share/ca-certificates zeigt.
  4. Einen Download prüfen, z.B. curl https://appcenter.software-univention.de/meta-inf/4.2/index.json.gz > /dev/null ← das sollte keine Fehlermeldung ausspucken.

Gruß
mosu


#3

Das ist mal Flott :slight_smile: Probiere ich gleich mal aus. Ich hoffe, dass ich das System danach auch aktivieren kann, das klappt leider auch nicht, allerdings gibt es keine Details zum “warum nicht”


#4

Der Download Test klappt! Dafür besten dank.
Bleibt noch die Frage na der Aktivierung. Ich glaub ich muss das Lizenzmodel erst noch verstehen.


#5

Huhu,

Die Aktivierung läuft ebenfalls über HTTPS und sendet Daten an license.univention.de. Zumindest mit einem explizit eingestellten Proxy funktioniert das bei mir wunderbar.

Gruß
mosu


#6

Hallo,

ja das Problem ist bei uns die HTTPS Kommunikation. Unser ISP hat hier nachgebessert und somit klappt auch alles. Danke für die Hilfe.

Gruß, Det