[Check_mk (deutsch)] Fehlgeschlagene Registrierung des Agents an der Appliance

Hallo zusammen,

beim Versuch einen neuen baked Agent an unserer Check_MK Appliance zu registrieren, erfolgt jedes Mal der folgende Fehler:

Going to register agent at deployment server

Updated the certificate store “C:\ProgramData\checkmk\agent\config\cas\all_certs.pem” with 1 certificate(s)

ERROR HTTPSConnectionPool(host='IP-ADRESSE UNSERER APPLIANCE‘, port=443): Max retries exceeded with url: /INSTANZNAME/check_mk/login.py (Caused by SSLError(SSLError(“bad handshake: Error([(‘SSL routines’, ‘tls_process_server_certificate’,
‘certificate verify failed’)],)”,),))

Hierbei haben wir sowohl das Zertifikat der Appliance verwendet, als auch testweise unser Root-CA-Zertifikat…

Natürlich wurde nach jedem Update des Zertifikats der Agent neu erstellt.

Welche Ursache könnte hier noch der Fehler dafür sein?

Vielen Dank und Gruß

Christian Karl

ITKG/ICO

Was steht denn im Zertifikat als Hostname /CN bzw im
SubjectAlternativeNames drin?

Das muss alles passen, sonst kann das Zertifikat nicht überprüft werden.

Der Agent-Updater braucht das CA-Zertifikat in seinen Einstellungen. Der
Webserver muss neben dem eigentlichen Server-Zertifikat auch eventuell
vorhandene Intermediate-Zertifikate ausliefern, sonst ist die Kette
nicht geschlossen.

Viele Grüße

···

On 19.12.19 11:57, Christian Karl wrote:

host='IP-ADRESSE UNSERER APPLIANCE‘

--
Robert Sander
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

https://www.heinlein-support.de

Tel: 030 / 405051-43
Fax: 030 / 405051-19

Amtsgericht Berlin-Charlottenburg - HRB 93818 B
Geschäftsführer: Peer Heinlein - Sitz: Berlin

Hallo Robert,

in der Tat hat noch ein Intermediate Zertifikat im Agent gefehlt. Nachdem die komplette Kette jetzt hinzugefügt ist, klappt das registern ohne weitere Komplikationen.

Danke für Deine Hilfe,

Christian Karl
ITKG/ICO

···

-----Ursprüngliche Nachricht-----
Von: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de> Im Auftrag von Robert Sander
Gesendet: Donnerstag, 19. Dezember 2019 12:59
An: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Fehlgeschlagene Registrierung des Agents an der Appliance

On 19.12.19 11:57, Christian Karl wrote:

host='IP-ADRESSE UNSERER APPLIANCE‘

Was steht denn im Zertifikat als Hostname /CN bzw im SubjectAlternativeNames drin?

Das muss alles passen, sonst kann das Zertifikat nicht überprüft werden.

Der Agent-Updater braucht das CA-Zertifikat in seinen Einstellungen. Der Webserver muss neben dem eigentlichen Server-Zertifikat auch eventuell vorhandene Intermediate-Zertifikate ausliefern, sonst ist die Kette nicht geschlossen.

Viele Grüße
--
Robert Sander
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

https://www.heinlein-support.de

Tel: 030 / 405051-43
Fax: 030 / 405051-19

Amtsgericht Berlin-Charlottenburg - HRB 93818 B
Geschäftsführer: Peer Heinlein - Sitz: Berlin

Hallo Christian,

···

On 19.12.19 14:02, Christian Karl wrote:

in der Tat hat noch ein Intermediate Zertifikat im Agent gefehlt.

Nein, in die Agent-Updater Konfiguration gehört nur das Root-Zertifikat.

Der Webserver muss das Intermediate ausliefern, damit alle die Kette
überprüfen können.

Viele Grüße
--
Robert Sander
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

https://www.heinlein-support.de

Tel: 030 / 405051-43
Fax: 030 / 405051-19

Amtsgericht Berlin-Charlottenburg - HRB 93818 B
Geschäftsführer: Peer Heinlein - Sitz: Berlin

Hallo zusammen,

beim Versuch einen neuen baked Agent an unserer Check_MK Appliance zu registrieren, erfolgt jedes Mal der folgende Fehler:

Going to register agent at deployment server

Updated the certificate store “C:\ProgramData\checkmk\agent\config\cas\all_certs.pem” with 1 certificate(s)

ERROR HTTPSConnectionPool(host='IP-ADRESSE UNSERER APPLIANCE‘, port=443): Max retries exceeded with url: /INSTANZNAME/check_mk/login.py (Caused by SSLError(SSLError(“bad handshake: Error([(‘SSL routines’, ‘tls_process_server_certificate’,
‘certificate verify failed’)],)”,),))

Hierbei haben wir sowohl das Zertifikat der Appliance verwendet, als auch testweise unser Root-CA-Zertifikat…

Natürlich wurde nach jedem Update des Zertifikats der Agent neu erstellt.

Welche Ursache könnte hier noch der Fehler dafür sein?

Vielen Dank und Gruß

Christian Karl

ITKG/ICO