Hallo,
bei uns ist die Relution-Instanz offline, ursprünglich mit diesen Fehlermeldungen:
The rootfs is read-write
INFO: Source pre-run script from /var/lib/univention-appcenter/apps/relution/conf/unset.sh
INFO: Pre-run script from /var/lib/univention-appcenter/apps/relution/conf/unset.sh sourced
mysql: Deprecated program name. It will be removed in a future release, use '/usr/bin/mariadb' instead
ERROR 2026 (HY000): TLS/SSL error: SSL is required, but the server does not support it
mysql: Deprecated program name. It will be removed in a future release, use '/usr/bin/mariadb' instead
ERROR 2026 (HY000): TLS/SSL error: SSL is required, but the server does not support it
[...]
Dementsprechend die Anweisungen auf https://help.univention.com/t/how-to-mariadb-ssl-tls-configuration-for-relution-and-other-apps/24766 befolgt, die mariadb-Variable have_ssl steht dabei korrekt auf YES.
Nun erhalte ich aber diesen Fehler, der mysql-Cliebnt von relution scheint das Server-Zertifikat nicht zu akzeptieren…:
The rootfs is read-write
INFO: Source pre-run script from /var/lib/univention-appcenter/apps/relution/conf/unset.sh
INFO: Pre-run script from /var/lib/univention-appcenter/apps/relution/conf/unset.sh sourced
mysql: Deprecated program name. It will be removed in a future release, use '/usr/bin/mariadb' instead
ERROR 2026 (HY000): TLS/SSL error: Certificate verification failure: The certificate is NOT trusted.
mysql: Deprecated program name. It will be removed in a future release, use '/usr/bin/mariadb' instead
ERROR 2026 (HY000): TLS/SSL error: Certificate verification failure: The certificate is NOT trusted.
[...]
den Relution-Helpdesk habe ich kontaktiert, ob man die SSL-Prüfung irgendwie deaktivieren kann, von dort kam diese Rückmeldung:
ich weiß leider immer nicht so ganz, was bei UCS für Skripte und Geschichten im Hintergrund laufen.
Theoretisch müsstest du aber auf der DB einfach nur SSL abschalten und es sollte wieder gehen:
mariadb --ssl-mode=DISABLED -h HOST -u USER -pRelution selbst braucht das für den Betrieb normalerweise nicht.
Wegen der zweiten Fehlermeldung kannst du theoretisch allen Zertifikaten vertrauen.
Die Fehlermeldung kommt, weil ein (selbst)signiertes Zertifikat von der Datenbank abgelehnt wird.
Dem müsste man vertrauen oder eine Ausnahme hinzufügen. Ich würde allerdings empfehlen bei Univention noch mal anzufragen, da wir - wie beschrieben - nicht im Detail wissen, was die zusammengebaut haben.
also leite ich die Frage mal an Euch weiter, was und wo ich da anders konfigurieren muss.
Danke und viele Grüße,
Christoph Mühlmann
(nachträglich am Ticket geändert: Schnipsel aus den Logs nachträglich gekürzt)