[Check_mk (deutsch)] WARN - error: Cannot fetch deployment URL via curl: Peer certificate cannot be authenticated with known CA certificates

Karsten · January 9, 2019, 5:34pm

Hallo,

ich habe seit einigen Tagen bei etlichen Hosts die Meldung “WARN - error: Cannot fetch deployment URL via curl: Peer certificate cannot be authenticated with known CA certificates”.
Das Zertifikat des Check_mk Apache hatte ich auch vor ein paar Tagen ausgetauscht, da es abgelaufen war.

Dann habe ich in der Regel “Agentupdater installieren (Linux, Windows)” das root Zertifikat, das intermidiate Zertifikat und das Zertifikat für den check_mk Host einkopiert. Anschließend " Signaturen, die der Agent akzeptieren soll"
und die darunter liegende Signatur angehakt.

Neue Agenten geback und signiert. Alle Agenten benötigen ein Update.

Wenn ich unter Windows in Verzeichnis c:\Program Files (x86)\check_mk\ cmk-update-agent.exe register gestartet.

Dazu bekomme ich die Fehlermeldung: “ERROR Cannot authenticate, invalid user/passwort/secret”

Was mache ich falsch bzw. wie macht man es richtig?

Gruß

Karsten

pEpkey.asc (1.74 KB)

···

NORDAKADEMIE gemeinnützige Aktiengesellschaft

Hochschule der Wirtschaft

Köllner Chaussee 11

25337 Elmshorn

Telefon: +49 (0)4121 4090-0

Fax: +49 (0)4121 4090-40

Email: info@nordakademie.de

http://www.nordakademie.de

Vorstand:

Dipl.-Ing. Jörg Meier (Sprecher), Dipl.-Wirtsch.-Ing. (FH) Christoph Fülscher

Aufsichtsrat:

Prof. Dr. Georg Plate (Vorsitzender), Dr. Nico Fickinger (stellv. Vorsitzender)

Sitz:

Sitz: Elmshorn, Amtsgericht Pinneberg, HRB 1682 EL

r.sander · January 10, 2019, 8:22am

Hallo Karsten,

ich habe seit einigen Tagen bei etlichen Hosts die Meldung "WARN -
error: Cannot fetch deployment URL via curl: Peer certificate cannot be
authenticated with known CA certificates". Das Zertifikat des Check_mk
Apache hatte ich auch vor ein paar Tagen ausgetauscht, da es abgelaufen war.

Dann habe ich in der Regel "Agentupdater installieren (Linux, Windows)"
das root Zertifikat, das intermidiate Zertifikat und das Zertifikat für
den check_mk Host einkopiert. Anschließend "Signaturen, die der Agent
akzeptieren soll" und die darunter liegende Signatur angehakt.

Die Reihenfolge war falsch.

Zuerst muß der Agent Updater das neue CA-Zertifikat verteilen, dann kann
auf dem Monitoring-Webserver das Zertifikat getauscht werden.

Der Agent-Updater braucht auch nur das CA-Zertifikat, denn das
Intermediate muss vom Webserver ausgeliefert werden.

Das neuen Agentenpaket mit dem neuen CA-Zertifikat kann jetzt nur noch
manuell ausgeliefert werden, da das alte Webserverzertifikat ja nicht
mehr gültig ist.

Viele Grüße

···

On 09.01.19 18:34, Karsten wrote:
--
Robert Sander
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

Tel: 030 / 405051-43
Fax: 030 / 405051-19

Amtsgericht Berlin-Charlottenburg - HRB 93818 B
Geschäftsführer: Peer Heinlein - Sitz: Berlin