Checkmk update von v2.0.0p32.cme auf v2.1.0p23.cme Bakery sagt - Invalid rule configuration detected

Hallo zusammen,

wenn ich unsere Umgebung auf Version 2.1 bringen möchte kommt im Update-Output folgende Warnung:

-| Replacing ruleset non_inline_snmp_hosts with snmp_backend_hosts
-| WARNING: Invalid rule configuration detected (Ruleset: agent_config:cmk_update_agent, Title: Agent updater (Linux, Windows, Solaris), Folder: SLAVE,
-| Rule nr: 1, Exception: -----BEGIN CERTIFICATE-----
-| MIIC3jCCAcYCAQEwDQYJKoZIhvcNAQEFBQAwNDEfMB0GA1UECgwWQ2hlY2tfTUsg
-| U2l0ZSBkZGl0dGVzdDERMA8GA1UEAwwIY21rYWRtaW4wIBcNMjMwMzE0MDk1NjI4
-| WhgPMjA1MzAzMDYwOTU2MjhaMDQxHzAdBgNVBAoMFkNoZWNrX01LIFNpdGUgZGRp
-| dHRlc3QxETAPBgNVBAMMCGNta2FkbWluMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
-| MIIBCgKCAQEAu+DvLTxVGnt+YBNl3C/WoaHWvsrHAB/jArrAUqazgU65YRE4owyd
-| K+kW/aKxtqhbsuFgrlpsLQrDmblxHFjQ4eMtjWojwFTwkrGSl5sb2GHGBKVQPHcm
-| pC9m3VpWOy+Gpwaax2TETGCtYSo7ahvsjC95Al8l8BdMXhUQ2A9M03Aj6q5nUHa+
-| 2oP+8YHJkvKOMK2ChA1iaWoaEQ4UD7tMHVxXji/RpDPeZzAUJVInL0Jk6xp2Rh+4
-| Ln56INGQkBLtzkdkU+B+matfbWHBzRJkEsvltt0O1Hdf2mUfYDat03VQGukSFV4K
-| p01cyfdyYsdar0yiX5LWEeFLMBzKMTxs7QIDAQABMA0GCSqGSIb3DQEBBQUAA4IB
-| AQCOn+sRBg/ECwNAYs+NceUhOfCgIOQAGGft30401KtyLOJj3HnfZPcX+wIjIOyu
-| AajLMcwGX7hcVxR3VVyr19bcMufD/m8jatOERjGnJnGnel/kMmausc/wBfjwjErp
-| WewGEv+sMCiAkvRauZ+kT++djtr8i9kKfAqbv6uPfCnu4ZVh/JZ51jHMVa6cVtCl
-| y4Dc3QSv6gjQgEHgoYaCWiBm6aA/ubQy3Er4GjoATBRyZy49ne+3cLsfhPZmSVTG
-| ZaYI/gbNoSeMfq1p4rpwi3fSZ2awi142cGp8D6e2G2Dw1Xf/dMxWeEHv4+zhXbxq
-| -----END CERTIFICATE-----
-| is not an allowed value)
-| WARNING: Invalid rule configuration detected (Ruleset: agent_config:cmk_update_agent, Title: Agent updater (Linux, Windows, Solaris), Folder: SLAVE,
-| Rule nr: 2, Exception: -----BEGIN CERTIFICATE-----
-| MIIC3jCCAcYCAQEwDQYJKoZIhvcNAQEFBQAwNDEfMB0GA1UECgwWQ2hlY2tfTUsg
-| U2l0ZSBkZGl0dGVzdDERMA8GA1UEAwwIY21rYWRtaW4wIBcNMjMwMzE0MDk1NjI4
-| WhgPMjA1MzAzMDYwOTU2MjhaMDQxHzAdBgNVBAoMFkNoZWNrX01LIFNpdGUgZGRp
-| dHRlc3QxETAPBgNVBAMMCGNta2FkbWluMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
-| MIIBCgKCAQEAu+DvLTxVGnt+YBNl3C/WoaHWvsrHAB/jArrAUqazgU65YRE4owyd
-| K+kW/aKxtqhbsuFgrlpsLQrDmblxHFjQ4eMtjWojwFTwkrGSl5sb2GHGBKVQPHcm
-| pC9m3VpWOy+Gpwaax2TETGCtYSo7ahvsjC95Al8l8BdMXhUQ2A9M03Aj6q5nUHa+
-| 2oP+8YHJkvKOMK2ChA1iaWoaEQ4UD7tMHVxXji/RpDPeZzAUJVInL0Jk6xp2Rh+4
-| Ln56INGQkBLtzkdkU+B+matfbWHBzRJkEsvltt0O1Hdf2mUfYDat03VQGukSFV4K
-| p01cyfdyYsdar0yiX5LWEeFLMBzKMTxs7QIDAQABMA0GCSqGSIb3DQEBBQUAA4IB
-| AQCOn+sRBg/ECwNAYs+NceUhOfCgIOQAGGft30401KtyLOJj3HnfZPcX+wIjIOyu
-| AajLMcwGX7hcVxR3VVyr19bcMufD/m8jatOERjGnJnGnel/kMmausc/wBfjwjErp
-| WewGEv+sMCiAkvRauZ+kT++djtr8i9kKfAqbv6uPfCnu4ZVh/JZ51jHMVa6cVtCl
-| y4Dc3QSv6gjQgEHgoYaCWiBm6aA/ubQy3Er4GjoATBRyZy49ne+3cLsfhPZmSVTG
-| ZaYI/gbNoSeMfq1p4rpwi3fSZ2awi142cGp8D6e2G2Dw1Xf/dMxWeEHv4+zhXbxq
-| -----END CERTIFICATE-----
-| is not an allowed value)
-| Detected 2 issue(s) in configured rules.
-| To correct these issues, we recommend to open the affected rules in the GUI.
-| Upon attempting to save them, any problematic fields will be highlighted.
-| 7/29 Rewriting discovered host labels…

Das Zertifikat (abgewandelt) was hier angezeigt wird ist das von der ‘signature’ sprich den Signature keys
Der Key ist der der durch die Mastersite erstellt wurde - aber kein Key von der Slavesite.

Wir arbeiten in einer Verteilten Umgebung mit mehreren Customern die sich untereinander nicht sehen nur die checkmk Server sehen sich und nutzen hier die Bakery.
Mit Version v2.0.0p32.cme bzw. v2.0.0p33.cme gibt es keine Probleme und auch keine Warnungen.
Die Frage ist wieso meckert der jetzt den Signature Key an wenn man die SLAVE Site updatet.

So ist die Bakery bei uns eingerichtet:

MASTER SITE - Gobale Settings:

SLAVE SITE - Globale Settings (Identisch Master Site):

Konfiguration soll ja laut Doku aus dem Distributed Monitoring gezogen werden…

Konfiguration Bakery Agent Rules:

Agent update status - v2.0:

hat eventuell jemand von Euch die Bakery in einer Distributed Monitoring Umgebung im Einsatz mit mehreren Slave Sites über die die Agents verteilt werden?
So wie ich es jetzt konfiguriert habe funktioniert es ja mit v2.0.0pxx - wurde irgendwas geändert in der v.2.1 ?
Ich komm nicht weiter.
der Artikel hilft mir auch nicht weiter bzw. ich versteh es nicht… :frowning:
https://kb.checkmk.com/display/KB/Distributed+Agent+Bakery

Ich hoffe Ihr könnt mir helfen.
Viele Grüße Sebastian

Ich erinnere mich, vor ein paar Monaten gebeten worden zu sein, diesen Abschnitt hinzuzufügen. Eigentlich ging ich davon aus, dass es nur um für SSL verwendete Zertifikate ginge. Ggf. muss ich den Artikel präzisieren.

Hallo mschlenker, danke für die Antwort. Das ist aber nicht das Problem würde ich meinen.
Ist denn die Bakery eigentlich so richtig konfiguriert für mehrere Customer oder muss ich noch was anpassen um die “Warnung” beim Update wegzubekommen ?

Hallo,
hat denn hier keiner die check-mk-managed Edition mit mehreren Customern im Einsatz und nutz die Bakery ?
Im schlimmsten Fall muss ich alles zurück bauen um die Warnung zu beheben, damit ich sauber auf die Version 2.1 komme… :frowning:

Da es nur Warnings sind, sollte die Site doch nach dem Upgrade erstmal laufen.
Ich würde probieren nun die Regeln nochmal “anzufassen” und damit eine Neuerstellung dieser zu forcieren.

Hallo,

zur Info - falls es noch jemanden betreffen sollte der das selbe Problem hat - es handelt sich um einen Bug in der CME Edition.

Die Fehlermeldung moniert einen Signaturschlüssel, der nicht vorhanden ist.
Das Problem tritt nur auf Remote-Sites und nur bei der CME auf (z.B. v2.1.0p27).
Hier wird die Datei ~/etc/check_mk/multisite.d/wato/agent_signature_keys.mk nicht synchronisiert.
Bei der CEE wird diese Datei synchronisiert.

Es wird ein Fix kommen.

Viele Grüße Sebastian