Fehlersuche: IGEL OS 12-Geräte können aufgrund abgelaufener Client-Zertifikate nicht mit UMS verbunden werden
IGEL OS 12-Geräte müssen über gültige Client-Zertifikate verfügen, um mit dem IGEL Universal Management Suite (UMS) verbunden werden zu können. Client-Zertifikate laufen 1 Jahr nach der Geräteregistrierung im UMS ab. Bei Geräten mit IGEL OS 12.4.1 oder neuer werden die Client-Zertifikate automatisch erneuert. Bei Geräten mit IGEL OS 2.4.0 oder älter werden die Client-Zertifikate jedoch nie erneuert, so dass die Geräte nicht über UMS verwaltet werden können. Das Problem wird dadurch entschärft, dass abgelaufene Zertifikate vorübergehend über einen benutzerdefinierten TrustManager
akzeptiert werden können. Auf diese Weise können die Geräte ohne manuelles Eingreifen aktualisiert werden.
Anforderungen
UMS Version 12.08.130
Administrator / Root-Zugriff auf Terminal, um Befehle der Befehlszeilenschnittstelle (CLI) auszuführen. Einzelheiten siehe IGEL UMS Administrator Command-Line Interface
Fehlermeldung eines abgelaufenen Client-Zertifikats
Wenn ein Gerät über ein abgelaufenes Client-Zertifikat verfügt, schlägt die Verbindung zum UMS fehl, weil der TLS-Handshake beim Aufbau einer TLS-Verbindung zum UMS abgebrochen wird.
In der UMS-Tray-App ist folgende Fehlermeldung zu sehen: ERROR: Verbindungsfehler: Lesen fehlgeschlagen
Die gleiche Fehlermeldung können Sie auch in den Geräteprotokolldateien sehen, wenn das Gerät versucht, sich mit der UMS zu verbinden.

Verwendung des benutzerdefinierten TrustManagers
Ausgehend von UMS 12.08.130 ist ein benutzerdefinierter TrustManager
in UMS integriert, der aktiviert werden kann, um abgelaufene Client Zertifikate zu akzeptieren. Der TrustManager
kann mit den folgenden CLI-Befehlen verwaltet werden:
Enable:
umsadmin-cli accept-expired-client-certs enable
Deaktivieren:
umsadmin-cli accept-expired-client-certs disable
Aktuellen Zustand prüfen:
umsadmin-cli accept-expired-client-certs state
Wenn der benutzerdefinierte TrustManager
aktiviert ist, wird in der Systeminfobox UMS Web App eine Warnung angezeigt, um auf das potenzielle Sicherheits- und Compliance-Risiko hinzuweisen. Weitere Informationen erhalten Sie, wenn Sie auf das Warnsymbol klicken.
Die Warnung wird nur Administratoren mit Schreibzugriff auf den Knoten UMS Console > UMS Administration > UMS Network angezeigt.

Schritt-für-Schritt-Anleitung zur Erneuerung abgelaufener Client-Zertifikate
Um Geräte mit abgelaufenen Client-Zertifikaten zu behandeln:
Öffnen Sie die Eingabeaufforderung als Administrator unter Windows oder ein Terminal als root unter Linux.
Geben Sie
umsadmin-cli accept-expired-client-certs enable
Dies aktiviert den benutzerdefinierten
TrustManager
im UMS, um abgelaufene Client Zertifikate zu akzeptieren und startet den UMS Server neu.
Sie sollten die entsprechende Antwort sehen.

Um zu überprüfen, ob die Option aktiviert ist, verwenden Sie den Befehl
umsadmin-cli accept-expired-client-certs state
und sehen Sie, dass die Option aktiviert ist.

Starten Sie die IGEL OS 12-Geräte mit den abgelaufenen Zertifikaten neu.
Die Geräte sollten nach dem Neustart mit dem UMS verbunden sein.
Gehen Sie zur UMS Konsole oder UMS Web App und überprüfen Sie, ob die IGEL OS 12 Geräte nun mit dem UMS verbunden sind.
Gehen Sie zur UMS Web App und aktualisieren Sie die IGEL OS 12 Base System Version auf den Geräten auf die neueste verfügbare Version.
Die Geräte erhalten durch das Update ihre Client Zertifikate erneuert.
Gehen Sie zurück zur UMS CLI und geben Sie
umsadmin-cli accept-expired-client-certs disable
Damit wird der benutzerdefinierte
TrustManager
deaktiviert und Geräte mit abgelaufenen Client Zertifikaten können sich nicht mehr mit dem UMS verbinden.
Um zu überprüfen, ob die Option deaktiviert ist, verwenden Sie den Befehl
umsadmin-cli accept-expired-client-certs state
.
Gehen Sie zur UMS Console oder UMS Web App und überprüfen Sie, ob die aktualisierten IGEL OS 12-Geräte mit dem UMS verbunden sind.