Fehlersuche: IGEL OS 12-Geräte können aufgrund abgelaufener Client-Zertifikate nicht mit UMS verbunden werden

IGEL OS 12-Geräte müssen über gültige Client-Zertifikate verfügen, um mit dem IGEL Universal Management Suite (UMS) verbunden werden zu können. Client-Zertifikate laufen 1 Jahr nach der Geräteregistrierung im UMS ab. Bei Geräten mit IGEL OS 12.4.1 oder neuer werden die Client-Zertifikate automatisch erneuert. Bei Geräten mit IGEL OS 2.4.0 oder älter werden die Client-Zertifikate jedoch nie erneuert, so dass die Geräte nicht über UMS verwaltet werden können. Das Problem wird dadurch entschärft, dass abgelaufene Zertifikate vorübergehend über einen benutzerdefinierten TrustManager akzeptiert werden können. Auf diese Weise können die Geräte ohne manuelles Eingreifen aktualisiert werden.

Anforderungen

• UMS Version 12.08.130

• Administrator / Root-Zugriff auf Terminal, um Befehle der Befehlszeilenschnittstelle (CLI) auszuführen. Einzelheiten siehe IGEL UMS Administrator Command-Line Interface

Fehlermeldung eines abgelaufenen Client-Zertifikats

Wenn ein Gerät über ein abgelaufenes Client-Zertifikat verfügt, schlägt die Verbindung zum UMS fehl, weil der TLS-Handshake beim Aufbau einer TLS-Verbindung zum UMS abgebrochen wird.

In der UMS-Tray-App ist folgende Fehlermeldung zu sehen: ERROR: Verbindungsfehler: Lesen fehlgeschlagen

Die gleiche Fehlermeldung können Sie auch in den Geräteprotokolldateien sehen, wenn das Gerät versucht, sich mit der UMS zu verbinden.

Verwendung des benutzerdefinierten TrustManagers

Ausgehend von UMS 12.08.130 ist ein benutzerdefinierter TrustManager in UMS integriert, der aktiviert werden kann, um abgelaufene Client Zertifikate zu akzeptieren. Der TrustManager kann mit den folgenden CLI-Befehlen verwaltet werden:

• Enable: umsadmin-cli accept-expired-client-certs enable

• Deaktivieren: umsadmin-cli accept-expired-client-certs disable

• Aktuellen Zustand prüfen: umsadmin-cli accept-expired-client-certs state

Wenn der benutzerdefinierte TrustManager aktiviert ist, wird in der Systeminfobox UMS Web App eine Warnung angezeigt, um auf das potenzielle Sicherheits- und Compliance-Risiko hinzuweisen. Weitere Informationen erhalten Sie, wenn Sie auf das Warnsymbol klicken.

Die Warnung wird nur Administratoren mit Schreibzugriff auf den Knoten UMS Console > UMS Administration > UMS Network angezeigt.

Schritt-für-Schritt-Anleitung zur Erneuerung abgelaufener Client-Zertifikate

Um Geräte mit abgelaufenen Client-Zertifikaten zu behandeln:

1. Öffnen Sie die Eingabeaufforderung als Administrator unter Windows oder ein Terminal als root unter Linux.

2. Geben Sie umsadmin-cli accept-expired-client-certs enable

   Dies aktiviert den benutzerdefinierten TrustManager im UMS, um abgelaufene Client Zertifikate zu akzeptieren und startet den UMS Server neu.
   Sie sollten die entsprechende Antwort sehen.

3. Um zu überprüfen, ob die Option aktiviert ist, verwenden Sie den Befehl umsadmin-cli accept-expired-client-certs state und sehen Sie, dass die Option aktiviert ist.

4. Starten Sie die IGEL OS 12-Geräte mit den abgelaufenen Zertifikaten neu.
   Die Geräte sollten nach dem Neustart mit dem UMS verbunden sein.

5. Gehen Sie zur UMS Konsole oder UMS Web App und überprüfen Sie, ob die IGEL OS 12 Geräte nun mit dem UMS verbunden sind.

6. Gehen Sie zur UMS Web App und aktualisieren Sie die IGEL OS 12 Base System Version auf den Geräten auf die neueste verfügbare Version.
   Die Geräte erhalten durch das Update ihre Client Zertifikate erneuert.

7. Gehen Sie zurück zur UMS CLI und geben Sie umsadmin-cli accept-expired-client-certs disable

   Damit wird der benutzerdefinierte TrustManager deaktiviert und Geräte mit abgelaufenen Client Zertifikaten können sich nicht mehr mit dem UMS verbinden.

8. Um zu überprüfen, ob die Option deaktiviert ist, verwenden Sie den Befehl umsadmin-cli accept-expired-client-certs state.

9. Gehen Sie zur UMS Console oder UMS Web App und überprüfen Sie, ob die aktualisierten IGEL OS 12-Geräte mit dem UMS verbunden sind.