Я установил Среду на новой установке Ubuntu 16.04, и я пытаюсь зарегистрировать клиенты в ней. Мы создали CA и подписали наш сертификат (https://help.landscape.canonical.com/LDS/SSL). Мы также добавили сертификат доверяемым сертификатам на клиенте.
Теперь мы пытаемся подключить наш клиент (Ubuntu 16.04) к Серверу со следующей командой:
sudo landscape-config --computer-title "Agent" --account-name standalone --url https://landskap/message-system --ping-url http://landskap/ping --ssl-public-key=/etc/ssl/certs/landscape_server_ca.pem
После диалогового окна конфигурации появляется это сообщение об ошибке:
Информация о SSL сервера является неправильной, или приводит проверку подписи к сбою! Если сервер использует самоподписанный сертификат, удостоверьтесь, чтобы Вы предоставили его - параметр ssl-с-открытым-ключом.
Да наш сервер называют 'Landskap'...
Мы проверили клиент, если существует дополнительная информация в /var/log/landscape/broker.log и нашла следующую ошибочную запись.
PyCurlError: Error 60: server certificate verification failed. CAfile: /usr/local/share/ca-certificates/landscape_server_ca.crt CRLfile: none
2017-04-18 14:08:38,978 ERROR [MainThread] Message exchange failed: server certificate verification failed. CAfile: /usr/local/share/ca-certificates/landscape_server_ca.crt CRLfile: none
2017-04-18 14:08:38,978 INFO [MainThread] Message exchange failed.
2017-04-18 14:08:38,979 INFO [MainThread] Message exchange completed in 0.17s.
2017-04-18 14:09:38,982 INFO [MainThread] Starting urgent message exchange with https://landskap/message-system.
2017-04-18 14:09:39,149 ERROR [PoolThread-twisted.internet.reactor-0] Error contacting the server at https://landskap/message-system.
Traceback (most recent call last):
File "/usr/lib/python2.7/dist-packages/landscape/broker/transport.py", line 71, in exchange
message_api)
File "/usr/lib/python2.7/dist-packages/landscape/broker/transport.py", line 45, in _curl
headers=headers, cainfo=self._pubkey, curl=curl))
File "/usr/lib/python2.7/dist-packages/landscape/lib/fetch.py", line 109, in fetch
raise PyCurlError(e.args[0], e.args[1])
Помогите нам :(
Не мог в настоящее время тестировать, но Руководство по быстрому началу работы предлагает добавить файл сертификата к /etc/landscape/client.conf
с этой строкой:
ssl_public_key = /etc/landscape/server.pem
Мы узнали, что quickstarter установка уже генерирует сертификат один. Нет никакой потребности генерировать другой. Просто скопируйте сертификат от /etc/landscape/landscape_server.pem
до клиента /etc/landscape/
папка. Рекомендация @Grayson Кента была корректна. Добавьте следующую строку к конфигурационному файлу в /etc/landscape/client.conf ssl_public_key = /etc/landscape/landscape_server.pem
Я недавно боролся с этой проблемой также. Для меня, однако, решение предусмотрело ограниченное описание проблемы, не был правильный путь.
Моя проблема для этого точно того же самого кода ошибки состояла в том, что мой сертификат SSL истек. Посмотрите мой опыт и диагностирующие шаги для определения проблемы на моем блоге по http://realworldnumbers.com/ubuntu-landscape-problems/.
По существу,
Проверьте вход в систему брокера одна из клиентских систем.
tail -n 100 /var/log/landscape/broker.log | grep certificate
Если Вы видите Ошибку 60, попытайтесь проверить сертификат с помощью завихрения. Проверьте сертификат с помощью вихревой команды для IP-адреса Альбомного сервера. В моем случае это было:
$ curl https://192.168.168.67/message-system
curl: (60) server certificate verification failed.
Используйте openSSL для проверки определенных деталей о цепочке сертификата.
openssl s_client -connect 192.168.168.67:443
В моем случае важные части этого вывода, который указал на сертификат с истекшим сроком, были:
Verify return code: 10 (certificate has expired)
verify error:num=10:certificate has expired
notAfter=Sep 23 00:00:19 2017 GMT
Таким образом, необходимо будет генерировать и подписать новый сертификат с помощью инструкций в альбомной документации справки. Моя рекомендация здесь состоит в том, чтобы генерировать 30-летний CA и сертификат. Значение по умолчанию составляло 1 год, и я не могу предположить обновлять сертификат на ежегодной основе. Кажется, нет предупреждения, остерегающегося этого истекающего сертификата в самой Среде.
Я просто прошел это на совершенно новой установке Среды с помощью быстрого запуска и сам подписанный сертификат.
Процедура я пошел до фиксации, которой это было
ssl_public_key = /etc/landscape/landscape_server_ca.crt