Problems in Systemdiagnose

certificates
diagnostic

#1

We have the same problems on multiple machines since today:

Without changing or updating univention in any way there’s a new error now:

Es wurden Fehler durch univention-check-templates gefunden. Die folgenden UCR Vorlagen wurden lokal verändert. Aktualisierte Versionen werden DATEINAME.dpkg-* genannt. Die Dateien sollten auf Unterschiede geprüft werden. /etc/univention/templates/files/etc/apache2/conf-available/proxy_http_ox_100_appsuite.conf

Has anyone please some information about this?


#2

Ist das Problem noch aktuell?


#3

Ja. Bisher haben wir nicht herausgefunden was hier genau schief geht.
Wir haben die selben Fehler auf 3 von einander unabhängigen Installationen.


#4

Den Gültigkeitsfehler bei LetsEncrypt sehe ich auch bei einem System. Bei einem anderen System, welches aber nicht ganz aktuell war, trat er nicht auf. Leider kann ich jetzt noch nicht sagen, inwiefern das Update da etwas ändert, der Server ist gerade down…
Es ist auch nich ganz einfach, dem Pythoncode zu folgen und herauszufinden, welches openssl-Kommando konkret ausgeführt wurde und somit zumindest zu sehen, warum die Prüfung eines offensichtlich funktionsfähigen Zertifikates fehlschlägt.

Zu den OX-spezifischen Sachen kann ich nichts konkretes beisteuern. Nur den allgemeinen Hinweis, die angegebenen Templates mal zu prüfen.


System-Fehlerdiagnose Kritisch: Überprüfe Gültigkeit der SSL Zertifikate
#5

ok, auch beim zweiten Letsenrypt-System nach Update von 4.2-2 errata164 auf aktuell.

http://errata.software-univention.de/ucs/4.2/166.html brachte neue Checks, unter anderen den, der hier anschlägt.

EDIT: https://forge.univention.org/bugzilla/show_bug.cgi?id=45702 erstellt
Die anderen Warnungen muß man wohl entsprechend der Hinweise abarbeiten.


#6

Tja das Abarbeiten ist ja genau das Problem. Wir haben z.B. das Recht auf root:root setzt, aber dann schmiert der Listener ab. Anders gesagt, der Fehler ist irgendwie keiner, oder doch, wer weiß (Facepalmsmiley missing). Denn vor dem Univention Update gab es diese Fehler ja nicht. Und es gab auch keinerlei Änderungen auf unserer Seite.
d.h. ratlos.


#7

Weil die Systemdiagnose das alles noch nicht getestet hatte.
Es ist gut möglich, dass auch die bemängelten Filepermissions eine Fehlinterpretation sind.


#8

Aktuell befindet sich ein Update der Let’s Encrypt-App in der internen Qualitätssicherung, welches das angezeigte Zertifikatsproblem in der Systemdiagnose bei einem erneuten Anklicken von “Änderungen anwenden” in den App-Einstellungen behebt.

Viele Grüße,
Valentin Heidelberger


#9

Mit den neuen veröffentlichten Versionen der App ist das Problem behoben. Es muss jedoch einmal setup-letsencrypt ausgeführt werden, bzw. in den App-Einstellungen auf “Änderungen anwenden” geklickt werden.


#10

Auf einem neu installierten UCS 4.3-0 System (errata112) mit der Let’sEncrypt App 1.2.2-3A erscheint eine ähnliche Fehlermeldung beim Aufruf der Systemdiagnose:

Das Zertifikat von Let’s Encrypt (signed_chain.crt) funktioniert jedoch tadellos z.B. mit Apache, Kopano-Gateway,…

Die Meldung in der Systemdiagnose irritiert jedoch schon.


#11

Die Meldung ist ähnlich aber nicht identisch und deswegen wäre es formal besser, einen eigenen Thread dafür zu machen.
Ich habe gerade dazu einen neuen Bugreport erstellt. https://forge.univention.org/bugzilla/show_bug.cgi?id=47375


#12

Der Fehler entsteht, weil die CA von Let’s Encrypt im globalen CA-Store des Systems nicht gefunden werden kann.

Die Lösung des Problems steht im README der App, welches nach der Installation auf der App-Seite angezeigt wird:

update-ca-certificates

Die App fügt das Root-Zertifikat von Let’s Encrypt in den globalen CA-Store auf dem System hinzu. Dieser muss jedoch danach mit obigem Kommando einmal neu geladen werden. Früher hat die App das selbst gemacht. Es hat sich jedoch herausgestellt, dass dies nicht immer zuverlässig funktioniert, wenn dabei das App Center geöffnet ist (was beim Installieren und Einrichten der App meist der Fall ist), weswegen dieser Schritt einmal manuell auf der Kommandozeile erledigt werden muss.

Die Meldung unterscheidet sich, weil sich mit dem letzten Update der App der Dateiname des Zertifikats geändert hat. Das Problem an sich ist aber das gleiche. @ahrnke Dennoch danke für Ihren Hinweis auf das Vorgehen im Bugzilla.

Es ist aktuell angedacht die App unter der Haube so anzupassen, dass es gar nicht mehr notwendig ist den CA-Store zu verändern.


#13

Danke für die Aufklärung.