Skip to main content
Skip table of contents

Fehlerbehebung: Geräte mit IGEL OS 12 können sich wegen abgelaufener Zertifikate nicht mit dem ICG verbinden

Geräte mit IGEL OS 12 benötigen gültige Client-Zertifikate, um über das IGEL Cloud Gateway (ICG) eine Verbindung zur IGEL Universal Management Suite (UMS) herzustellen. Client-Zertifikate laufen 1 Jahr nach der Registrierung des Geräts in der UMS ab. Bei Geräten mit IGEL OS 12.4.1 oder neuer werden die Client-Zertifikate automatisch erneuert, bei Geräten mit IGEL OS 12.4.0 oder älter werden die Client-Zertifikate jedoch in einigen Fällen nicht erneuert, wodurch die Geräte nicht mehr verwaltet werden können. Das Problem wird behoben, indem abgelaufene Client-Zertifikate vorübergehend über einen benutzerdefinierten TrustManager akzeptiert werden, der für das ICG aktiviert werden kann. Auf diese Weise können die Geräte ohne manuellen Eingriff aktualisiert werden.

Weitere Informationen zur Verwendung des benutzerdefinierten TrustManager in der UMS finden Sie unter Troubleshooting: IGEL OS 12 Devices Failing to Connect to UMS Due to Expired Client Certificates.

Requirements

  • ICG Version 12.09.100 oder höher

Den benutzerdefinierten TrustManager verwenden

Ab ICG 12.09.100 ist ein benutzerdefinierter TrustManager in die UMS integriert, der aktiviert werden kann, um abgelaufene Client-Zertifikate zu akzeptieren. Der TrustManager kann über die Datei /opt/IGEL/icg/usg/conf/application-prod.yml verwaltet werden:

  • Aktivieren: Fügen Sie die Zeile client-certificate: hinzu und eine Ebene darunter die Zeile allow-expired-certificates: true:

    CODE 
    igel:
  client-cert-forwarding:
    enabled: false
    client-cert-forwarded-header: X-SSL-CERT
  client-certificate:
    allow-expired-certificates: true

  • Deaktivieren: Setzen Sie allow-expired-certificates auf false

Wenn der benutzerdefinierte TrustManager aktiviert ist, wird in der System-Infobox der UMS-Webanwendung eine Warnung angezeigt, um auf das potenzielle Sicherheits- und Compliance-Risiko hinzuweisen. Die Warnung wird 5 Minuten nach der erneuten Verbindung des ICG mit dem UMS angezeigt. Weitere Informationen erhalten Sie, wenn Sie auf das Warnsymbol klicken.

Diese Warnung wird nur Administratoren angezeigt, die Schreibzugriff auf UMS Console > UMS Administration > UMS Netzwerk haben.

image-20250711-142054.png

Schrittanleitung zum Erneuern von abgelaufenen Client-Zertifikaten

  1. Öffnen Sie die Datei /opt/IGEL/icg/usg/conf/application-prod.yml

  1. Fügen Sie die Zeile client-certificate: hinzu und eine Ebene darunter die Zeilt allow-expired-certificates: true:

CODE 
igel:
  client-cert-forwarding:
    enabled: false
    client-cert-forwarded-header: X-SSL-CERT
  client-certificate:
    allow-expired-certificates: true

  1. Starten Sie den ICG neu.

  1. Trennen Sie die IGEL-OS-Geräte mit den abgelaufenen Zertifikaten vom ICG und verbinden Sie sie erneut.
    Die Geräte sollten wieder verbunden werden.

  1. Gehen Sie zur UMS-Konsole oder zur UMS Web App und überprüfen Sie, ob die IGEL-OS-Geräte jetzt mit dem ICG verbunden sind.

  1. Rufen Sie die UMS Web App auf und aktualisieren Sie das IGEL OS 12-Basissystem auf den Geräten auf die neueste verfügbare Version.
    Die Geräte erhalten durch das Update eine Erneuerung ihrer Client-Zertifikate..

  1. Setzen Sie allow-expired-certificates auf false.

CODE 
igel:
  client-cert-forwarding:
    enabled: false
    client-cert-forwarded-header: X-SSL-CERT
  client-certificate:
    allow-expired-certificates: false

Dadurch wird der benutzerdefinierte TrustManager deaktiviert, und Geräte mit abgelaufenen Client-Zertifikaten können keine Verbindung mehr zum ICG herstellen.

  1. Starten Sie den ICG enu.

  1. Gehen Sie zur UMS Konsole oder zur UMS Web App und überprüfen Sie, ob die aktualisierten IGEL-OS-Geräte jetzt verbunden sind.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close