Hallöchen,
ich bräuchte vielleicht einmal Schwarmwissen…
wir haben das Problem, dass unsere Zertifikate ausgelaufen sind und wir es leider durch andere Umstände nicht bemerkt haben. Somit ist das CA Zertifikat ausgelaufen.
Nun bekommen wir diese Fehlermeldung:
[agent] Communication failed: [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] sslv3 alert handshake failure (_ssl.c:2580)CRIT, Missing monitoring data for all pluginsWARN, execution time 0.0 sec
Hat jemand da vielleicht eine Lösung? Ich habe noch kein Zertifikat ausgetauscht, lediglich das neue in den Agent-Updater hinzugefügt, da ich gelesen habe man muss einen Agent haben, auf dem sowohl das alte, als auch das neue Zertifikat vorhanden ist.
Aber nach dieser Agent-Installation hat sich trotzdem nichts geändert.
Die Fehlermeldung hat nix mit dem Agent Updater zu tun. Der scheint schon ein Problem zu haben beim Aufbau der TLS Verbindung zum Client.
Wurde da an der internen CA der CheckMK Site was gemacht?
Nein, wurde nicht. Die Fehlermeldungen traten nur auf, als die CA abgelaufen ist. Diese wurde aber schon einmal getauscht und auf den Servern war auch die richtige CA und trotzdem haben die Server nicht miteinander kommunizieren können per TLS. Vor diesem auslaufen ging alles reibungslos.
Die interne Site-CA für die TLS-Verschlüsselung der Agentendaten ist ab Erzeugung 999 Jahre gültig.
Ich würde mich wundern, wenn die jetzt schon abgelaufen ist.
Was passiert dann wenn man so einen Host versucht neu zu registrieren für TLS.
Wäre schön zu wissen was hier getauscht wurde. Für die Kommunikation der Agents ist erstmal keinerlei CA nötig - nur die interne CA muss da sein wenn eine neue TLS Vertrauensstellung aufgebaut werden soll.
Denn Agent Updater kann man ja auch einfach manuell testen ob dort ein Problem ist mittels. cmk-update-agent -vvv
Ebenfalls kann hier Aufschluss geben ein cmk-agent-ctl status
Also tut mir erstmal leid wenn ich mich manchmal nicht so richtig ausdrücke. Bin relativ frisch aus der Ausbildung und habe das CheckMK Thema übernommen. Vielleicht übersehe ich auch was essenzielles.
Also, bei der Registrierung etc ist alles okay. Er sagt Registrierung complete aber der SSL-Fehler bleibt. - Ich habe heute nochmal die VM auf den Stand zurückgesetzt, den sie letzte Woche Montag hatte. Das war der Tag, wo das CA-Zertifikat ausgelaufen ist.
Der Kollege hat dann das CA-Zertifikat was für den Server ausgestellt wurde getauscht, damit wir auch wieder auf die Weboberfläche kommen.
Vielleicht kann mir auch jemand eine kleine Reihenfolge geben, wie ich das am besten angehe. Das wäre super lieb, andernfalls verzweifel ich komplett. Dieses Zertifikatsthema ist noch sehr neu für mich.
Ok also nix CA Zertifikat sondern nur das normale TLS Zertifikat.
Achtung die Sachen bitte nicht verwechseln. CA Zertifikate sind welche die andere Zertifikate dann ausstellen dürfen, so mal einfach ausgedrückt.
Wenn das wirklich nur am Apache ersetzt wurde erklärt das auf keinen Fall die Probleme.
Reihenfolge gibt es hier nicht so klar. Wichtig ist, dass man die verschiedenen Zertifikate nicht durcheinander bringt welche es auf dem CMK Server so gibt.
Einmal wäre da das Apache Zertifikat um ordentlich HTTPS zu können.
Nummer zwei wäre das wirkliche CA Zertifikat der CheckMK Site. Welches man bitte bitte nie manuell anfassen sollte. Außer man weiß ganz genau was man da tut.
Nummer drei sind dann die von dieser CA ausgestellten Zertifikate.
Deshalb auch in meinem vorherigen Post die beiden Befehle, von welchen der Output halt hier recht wichtig wäre zu sehen.
Hallo,
die Fehlermeldung aus dem ersten Post bezieht sich ja auf die Verbindung des CMK-Servers mit dem Agenten um die Daten zu holen. Das hat erstmal nichts mit der SSL-Verschlüsselung der CMK Site zu tun (HTTPS). Wenn das HTTPS Zertifikat ausgelaufen ist, sollte diese Verbindung weiter funktionieren.
Die für die Agentenverschlüsselung genutzten Zertifikate werden von der Site selbst erzeugt und im Rahmen der Registrierung ausgetauscht. Die CA ist wie Robert geschrieben hat etwa 1000 Jahre gültig. Bei den ausgestellten Zertifikate hängt das von der Checkmk Version ab, aber die sollten auch noch nicht abgelaufen sein.
Könntest Du das von Andreas vorgeschlagene Kommando auf einem Host, bei dem die Verbindung nicht funktioniert mal aufrufen:
cmk-agent-ctl status
Ja wir hatten gestern einmal die VM aus einem Backup wiederhergestellt, um nochmal auf den Stand von letzter Woche zu kommen. Haben dann heute das CA-Server-Zertifikat hinzugefügt um wieder auf die Website zu kommen. Aber nach wie vor SSL-Fehler bei allen Hosts.
Wie bereits erwähnt hat das Zertifikat für die HTTPS Verbindung nichts mit den Zertifikaten zu tun, die hier verwendet werden. Dennoch ist es verwunderlich, dass die Zertifikate für die Controller Verbindung heute anscheinend um 12:46:45 UTC, also 14:46 CEST erzeugt wurden. Wenn auf dem Server oder dem Agenten die Zeit nicht stimmt, akzeptiert er das Controller Zertifikat natürlich nicht.
Nein. Blödsinn. Hat nichts damit zu tun. Sorry.
Ich denke, dass muss man sich mal auf dem eigentlichen System ansehen und kann kaum hier im Forum geklärt werden.
Bitte nicht schreiben das hier CA Zertifikate getauscht werden - maximal das Host Zertifikat wird wurde neu gemacht und vielleicht noch das Zertifikat der ausstellenden CA hinterlegt falls diese sich geändert hätte.
Bitte auch genau beschreiben was alles getauscht wurde.
