Lösungen und Tipps von den mpex Profis

mpex Techblog

24.02.2021

Bacula – Problem mit Bacula FD/Director Zertifikaten

Es kommt zu einem Problem mit Bacula FD/Director Zertifikaten: "ERR=19:self signed certificate" oder "ERR=18:self signed certificate".

Fehler

...ERR=19:self signed certificate in certificate chain...
bzw mit ERR=18 und ausführlicher:
Jan 26 00:21:43 my-host.example.com bacula-fd: my-host-fd JobId 0: Error: tls.c:92 Error with certificate at depth: 0, issuer = /C=DE/ST=Berlin/L=Berlin/O=/CN=my-host.example.com, subject = /C=DE/ST=Berlin/L=Berlin/O=/CN=my-host.example.com, ERR=18:self signed certificate # <= Beachte: issuer / subject sind identisch !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Jan 26 00:21:49 my-host.example.com bacula-fd: my-host-fd: Fatal Error at authenticate.c:208 because: Jan 26 00:21:49 my-host.example.com bacula-fd: Unable to authenticate Director Jan 26 00:21:49 my-host.example.com bacula-fd: bsock.c:335 Socket has errors=1 on call to client:10.10.10.10:36387 Jan 26 00:21:49 my-host.example.com bacula-fd: bsock.c:335 Socket has errors=1 on call to client:10.10.10.10:36387 Jan 26 00:21:49 my-host.example.com bacula-fd: bsock.c:335 Socket has errors=1 on call to client:10.10.10.10:36387

Analyse

Sind neben der Fehlermeldung noch "issuer =" und "subject =" genannt und ist der CN= Wert in diesen identisch, ist das Zertifikat vermutlich tatsächlich vom Host selbst ausgestellt (daher "self signed"). Es sollte bei "issuer" CN der Name der CA erscheinen und nicht der des Hosts auf dem das Zertifikat verwendet wird. Beispiel, wie issuer und subject bei einem korrekten Zertifikat aussehen sollten (Bespiel hier aus einer anderen "expired" Fehlermeldung genommen):
26-Jan 00:20 bconsole JobId 0: Error: tls.c:96 Error with certificate at depth: 0, issuer = /CN=My CA: my-ca.example.com, subject = /CN=my-host.example.com, ERR=10:certificate has expired

Lösung 1

Falls eine eigene CA zum Einsatz kommt, muss das Zertifikat des Clients von dieser CA erstellt sein. Welche CA Zertifikate erlaubt sind, sieht man auf dem Director über die Konfigurationsoption "TLS CA Certificate Dir" oder "TLS CA Certificate File". Das oder eines der dort erlaubten CA Zertifikate muss beim Client im Einsatz sein und das Client Zertifikat muss von einem dieser CA Zertifikate signiert sein.

Lösung 2

Wenn eine neue CA generiert worden ist, muss für dieses ein Hash im "CA Certificate Dir" erzeugt werden (dazu muss diese Option natürlich auch in der FD Config vorhanden sein).
CAFILE=/var/lib/puppet/ssl/certs/ca.pem # <- hier die neue CA eintragen cd <CA Certificate Dir> ln -s $CAFILE /etc/bacula/$(openssl x509 -noout -hash -in $CAFILE).0

Kann mpex weiterhelfen?

Mit über 20 Jahren Erfahrung im Bereich Managed Hosting haben wir ein umfangreiches Repertoire an Problemlösungen angesammelt, die uns beim Betrieb von Serverumgebungen auf höchstem technischen Niveau geholfen haben. Unsere Systeme bauen komplett auf Open-Source-Technologien auf. Damit sind wir flexibel und können bei technischen Schwierigkeiten direkt selbst eingreifen. Analog zur Open-Source-Idee haben wir uns für diesen Techblog entschieden, um unsere Expertise und Problemlösungen mit dir zu teilen. Dazu zählen Technologien wie Bacula, Debian, Pacemaker, Puppet, diverse allgemeine Serverprobleme und noch vieles darüber hinaus. Wenn du mehr über unsere individuellen Business-Lösungen erfahren und dich als Admin auf deine Kernkompetenzen konzentrieren möchtest, sprich uns einfach an. Wir realisieren das Managed Hosting deiner Anwendung und kümmern uns in Zukunft um all solche Probleme.

Zum Kontaktformular
mpex GmbH
Weitere Blog Artikel
07.04.2021

Puppet – Problem: "Error: Could not request certificate: unknown message digest algorithm"

Beim Anfordern eines Zertifikats auf einem Puppet Agent kommt es zu folgender Fehlermeldung: "Error: Could not request certificate: unknown message digest algorithm".

Artikel lesen
31.03.2021

OpenProject – Problem: Fehlermeldung "ERR_TOO_MANY_REDIRECTS"

Bei OpenProject kommt es in Verbindung mit Apache zu folgender Fehlermeldung: "ERR_TOO_MANY_REDIRECTS".

Artikel lesen

Kontaktformular - Sprechen Sie uns an!

Sprechen Sie uns an!

Sie wollen mehr über uns und unsere Leistungen erfahren? Lernen Sie uns im persönlichen Gespräch kennen!

Telefon: +49 30 780 97 180
E-Mail: info@mpex.de