Die CMK Instanz wurde angehalten der Apache durchgestartet und die CMK-Instanz wieder gestartet.
Das hat auch alles geklappt und im Browser sah auch alles gut aus.
Ich werde aus der Aussage nicht so richtig schlau.
Habe ich irgendwo vergessen die neue ROOT-CA zu hinterlegen ?
Hier habe ich auch schon geschaut - CA bundle /omd/sites/[SITE_ID]/var/ssl/ca-certificates.crt - da ist die neue ROOT-CA schon drin muss sie ja auch, da sie via WATO hinzugefügt wurde als Vertrauenswürdige CA.
ich bin ein bisschen Ratlos. Für einen Tipp wo ich noch schauen sollte bzw. was ich noch machen kann wäre ich sehr dankbar.
viele Grüße Sebastian
@gstolz
Meine Vermutung: Er hatte vergessen, dem neuen Cert innerhalb des Distributed Monitoring zu vertrauen. Dafür muss man imho bei den Connections im Distributed Monitoring nochmal auf das Icon für “Show details about livestatus encryption” klicken und dann der CA nochmal manuell vertrauen.
Aber wie gesagt, nur meine Vermutung… vielleicht schreibt @Sebastian ja nochmal was dazu
Das Problem ist die zweistufige Windows CA bzw. diese dem checkmk beizubringen.
Vielleicht gibt es noch einen anderen Weg aber dieser hier hat mir geholfen.
folgendes hab ich gemacht:
auf der Master Instanz - das neue ROOT-CA-Zertifikat von der Slave Instanz direkt in den Server Speicher importiert
/usr/local/share/ca-certificates/
im WATO in den Globalen Setting der Master Instanz das Issuing-CA Zertifikat von der Slave Instanz importiert
dann in der Slave Instanz alle Zertifikate ausgetauscht - Issuing-CA Zertifikat und WebZertifikat (chain)
Apache und CMK neu gestartet und dann gab es auch keine Fehler mehr im Distributed Monitoring
im Browser ist alles schick
Replication ging auch ohne Fehler
Da ich dem Frieden aber nicht getraut habe hab ich noch mal openssl bemüht.
Von der Master Instanz aus zur Slave Instanz und umgekehrt:
[…]
SSL handshake has read 3349 bytes and written 396 bytes
Verification: OK
[…]
Ich hab dann noch die alte CA gelöscht im WATO nun ist alles wieder sauber.
Jetzt kann ich mich an die Umstellung der anderen CAs machen.
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.