Breadcrumbs

Fehlersuche: UMS verbindet sich nicht mit ICG: "TrustAnchor ...ist kein CA-Zertifikat"

Symptom

Der UMS kann sich nicht mit dem IGEL Cloud Gateway (ICG) verbinden. Die folgende Meldung erscheint in der GUI oder in der Protokolldatei:

TrustAnchor ...is not a CA certificate

Caused by: sun.security.validator.ValidatorException: PKIX-Pfadüberprüfung fehlgeschlagen: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=UMS-CLUSTER--xxx, O=test, L=test, C=US" is not a CA certificate
at sun.security.validator.PKIXValidator.doValidate(PKIXValidator.java:380)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:273)
at sun.security.validator.Validator.validate(Validator.java:262)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:327)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:236)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:113)
at de.igel.apps.usg.connection.ssl.TrustedOnlyTrustManager.checkServerTrusted(TrustedOnlyTrustManager.java:74)
at sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1099)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1622)
... 54 mehr

Umwelt

  • UMS 6.04 oder höher

  • ICG mit älteren Root Zertifikaten, die mit UMS 5.07 oder UMS 5.08

Problem 

Ältere ICG root Zertifikate (erstellt mit UMS 5.07 oder UMS 5.08) haben nicht den richtigen CA-Modifikator, was bei früheren Java-Versionen nie ein Problem war. Doch die ab UMS 6.4.x verwendete Java-Version blockiert diese Zertifikate.

Um zu prüfen, ob Sie ein altes ICG Root-Zertifikat haben:

  1. Öffnen Sie die UMS Konsole, gehen Sie zu UMS Administration > Global Configuration > Cloud-Gateway und wählen Sie Ihr ICG Root-Zertifikat aus.

  2. Klicken Sie auf image2020-4-20_14-37-18.png , um den Inhalt des Zertifikats zu lesen.
    Wenn Zertifikat Authority auf "false" gesetzt ist, haben Sie ein altes ICG Root Zertifikat.

Lösung

Wenn Sie das ICG Root-Zertifikat nicht austauschen wollen (was eine Neuinstallation des ICG und eine Neuregistrierung aller Endgeräte erfordert), können Sie einen Startparameter hinzufügen, der den UMS Server anweist, das CA-Flag im Zertifikat zu ignorieren.

Dieser Startparameter wird bei jeder UMS Update-Installation überschrieben, so dass Sie ihn nach dem Update erneut setzen müssen.

Befolgen Sie die nachstehenden Anweisungen, je nach Betriebssystem.

Für Windows

  1. Öffnen Sie den Windows-Dialog Dienste und beenden Sie den Dienst IGELRMGUIServer.

  2. Navigieren Sie in das Verzeichnis <UMS Installationsverzeichnis(Beispiel: RemoteManager: C:\Program Files (x86)\IGEL\RemoteManager\rmguiserver\bin)

  3. Doppelklicken Sie auf editTomcatService.

  4. Bestätigen Sie den Warndialog.

  5. Wählen Sie die Registerkarte Java.

  6. Unter Java-Optionen fügen Sie den folgenden Eintrag als neue Zeile hinzu:
    -Djdk.security.allowNonCaAnchor=true

  7. Klicken Sie auf Ok, um die Änderungen zu speichern.

  8. Starten Sie im Windows-Dialog Services den Dienst IGELRMGUIServer.

Für Linux

  1. Stoppen Sie den Dienst igelRMserver

  2. Navigieren Sie in das Verzeichnis /opt/IGEL/RemoteManager/rmguiserver/bin

  3. Öffnen Sie die Datei igelRMserver

  4. Finden Sie die beiden Einträge -Xmx4096 und fügen Sie vor jedem Eintrag eine neue Zeile mit folgendem Inhalt ein:
    -Djdk.security.allowNonCaAnchor=true

  5. Speichern Sie die Änderungen.

  6. Starten Sie den Dienst igelRMserver