ROOT-CA + Web-Certificate austauschen in einer Distributed Monitoring Umgebung

Hallo,
ich bin auf ein komische Problem gestoßen was sich mir nicht so richtig erschließt was das passiert oder nicht passiert.

Hintergrund:

  • Wir arbeiten in einer Distributed Monitoring Umgebung mit 5 Verschiedenen Servern (CME Edition)

  • Nun muss bei einer Instanz die ROOT-CA ausgetauscht werden und auch somit auch das Web-Certificate vom Apache.

  • folgendes habe ich gemacht.

  • via WATO die neue ROOT-CA + Issuing-CA hinterlegt

  • da stellt sich gleich die Frage brauch ich die Issuing-CA eigentlich oder reicht das via CHAIN dem Apache mitgeben ?

  • neues Web-Certificate ausgestellt über die neue ROOT-CA alles schick

Sieht in WATO in der Master Instanz so aus:

auf der Instanz (DVB) wurde die komplette neue Zertifikats-Kette als CHAIN (.pem) hinterlegt.

SSLCertificateFile /etc/apache2/ssl/monitoring.dvbag.de-chain.pem
SSLCertificateKeyFile /etc/apache2/ssl/monitoring.dvbag.de.key.pem

Die CMK Instanz wurde angehalten der Apache durchgestartet und die CMK-Instanz wieder gestartet.
Das hat auch alles geklappt und im Browser sah auch alles gut aus.

dann sind die beiden Probleme aufgetaucht:

Ich werde aus der Aussage nicht so richtig schlau.
Habe ich irgendwo vergessen die neue ROOT-CA zu hinterlegen ?
Hier habe ich auch schon geschaut - CA bundle /omd/sites/[SITE_ID]/var/ssl/ca-certificates.crt - da ist die neue ROOT-CA schon drin muss sie ja auch, da sie via WATO hinzugefügt wurde als Vertrauenswürdige CA.

ich bin ein bisschen Ratlos. Für einen Tipp wo ich noch schauen sollte bzw. was ich noch machen kann wäre ich sehr dankbar.
viele Grüße Sebastian

Hallo,

hat sich erledigt - ich hab den Fehler gefunden.

und was war der Fehler :)?

@gstolz
Meine Vermutung: Er hatte vergessen, dem neuen Cert innerhalb des Distributed Monitoring zu vertrauen. Dafür muss man imho bei den Connections im Distributed Monitoring nochmal auf das Icon für “Show details about livestatus encryption” klicken und dann der CA nochmal manuell vertrauen.

Aber wie gesagt, nur meine Vermutung… vielleicht schreibt @Sebastian ja nochmal was dazu

Ich versuch es mal in Worte zufassen.

Das Problem ist die zweistufige Windows CA bzw. diese dem checkmk beizubringen.
Vielleicht gibt es noch einen anderen Weg aber dieser hier hat mir geholfen.

folgendes hab ich gemacht:

  • auf der Master Instanz - das neue ROOT-CA-Zertifikat von der Slave Instanz direkt in den Server Speicher importiert

  • /usr/local/share/ca-certificates/

  • im WATO in den Globalen Setting der Master Instanz das Issuing-CA Zertifikat von der Slave Instanz importiert

  • dann in der Slave Instanz alle Zertifikate ausgetauscht - Issuing-CA Zertifikat und WebZertifikat (chain)

  • Apache und CMK neu gestartet und dann gab es auch keine Fehler mehr im Distributed Monitoring

  • im Browser ist alles schick

  • Replication ging auch ohne Fehler

Da ich dem Frieden aber nicht getraut habe hab ich noch mal openssl bemüht.
Von der Master Instanz aus zur Slave Instanz und umgekehrt:

[…]
SSL handshake has read 3349 bytes and written 396 bytes
Verification: OK
[…]

Ich hab dann noch die alte CA gelöscht im WATO nun ist alles wieder sauber.
Jetzt kann ich mich an die Umstellung der anderen CAs machen.