Hallo,
nach den Update von 1.6.0p19 auf 2.0.0b1 funktioniert die SSL verschlüsselte Synchronisation mit den Active Directory nicht mehr.
Ich vermute einmal dass es an den selbst signierten Zertifikaten liegt. Da ich bei den Zertifikaten nicht ganz so fit bin, könnte mich jemand in die richtige Richtung stupsen.
Danke
Die Site ist nur auf die 2.0 aktualisiert worden oder?
Schau mal bitte im WATO nach den Zertifikaten welchen hier vertraut wird.
Global Settings -> Trusted certificate …
Dort muss dein eigenes Zertifikat auch mit vorhanden sein. Wenn nicht einfach mal hinzufügen.
Hallo,
die Site ist nur mit cmk -update aktualisiert worden;
bei der 1.6 hat es problemlos funktioniert.; die Zertifikate sind auch in den Global Settings hinterlegt.
Ich hab hier eine Site mit 2.0 laufen welche ohne Probleme sich zum WinAD per SSL verbindet.
Was meinst genau mit “selbst signierten Zertifikaten” in der Windows AD gibt es sowas eigentlich nicht.
Hallo,
entschuldigt, dass ich erst heute antworten kann.
Eine neu aufgesetzte Site mit 2.0 hat keine Probleme mit der SSL verschlüsselten Syncronisation zum AD,
die bestehende Site mit 1.6.0p19 hat ebenfalls keine Probleme;
erst nach einen Update von 1.6 auf 2.0 läuft die Syncronisation auf einen Fehler mit den Eintrag in der ~/var/log/web.log
ldaps://:636: {‘result’: -1, ‘desc’: “Can’t contact LDAP server”, ‘ctrls’: [], ‘info’: ‘error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (unable to get local issuer certificate)’})
Ich vermute dass der Fehler innerhalb der PKI-Zertifikats-Kette besteht - wobei mir nicht ganz klar ist, weshalb der Fehler nur nach einen Update der Site auftritt.
Mal probiert die Site internen Zertifikate im WATO weggesichert und gelöscht? Danach die gleichen Zertifikate eingetragen welche in der neuen 2.0 Site funktionieren.
Hallo,
ich habe in den Global Settings alle Zertifikate gelöscht und die Kette neu eingetragen; die Reihenfolge der eingetragenen Zertifikate ist unverändert, aber jetzt funktioniert die Syncronisation.
Verstehen muss ich dies nicht.
Danke für die Denkanstöße.
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact @fayepal if you think this should be re-opened.