Fehlerbehebung: UMS verbindet sich nicht mit dem ICG: "TrustAnchor ...ist kein CA-Zertifikat"
Symptom
Die UMS kann sich nicht mit dem IGEL Cloud Gateway (ICG) verbinden. Die folgende Nachricht erscheint auf der Bedienoberfläche oder in der Protokolldatei:
TrustAnchor ...is not a CA certificate
Caused by: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=UMS-CLUSTER--xxx, O=test, L=test, C=US" is not a CA certificate
at sun.security.validator.PKIXValidator.doValidate(PKIXValidator.java:380)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:273)
at sun.security.validator.Validator.validate(Validator.java:262)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:327)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:236)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:113)
at de.igel.apps.usg.connection.ssl.TrustedOnlyTrustManager.checkServerTrusted(TrustedOnlyTrustManager.java:74)
at sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1099)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1622)
... 54 more
Umgebung
UMS 6.04 oder höher
ICG mit älteren Root-Zertifikaten, die von UMS 5.07 oder UMS 5.08 erstellt wurden
Problem
Ältere ICG Root-Zertifikate (mit UMS 5.07 oder 5.08 erstellt) haben nicht den richtigen CA-Modifikator, was mit bisherigen Java-Versionen kein Problem darstellte. Die ab UMS 6.4.x verwendete Java-Version jedoch blockiert diese Zertifikate.
So prüfen Sie, ob Sie ein altes ICG Root-Zertifikat haben
Öffnen Sie die UMS Konsole, gehen Sie zu UMS Administration > Globale Konfiguration > Cloud Gateway Konfiguration und wählen Sie Ihr ICG Root-Zertifikat aus.
Klicken Sie auf
, um den Inhalt des Zertifikats anzusehen.
Wenn Zertifizierungsstelle auf "false" gesetzt ist, haben Sie ein altes ICG Root-Zertifikat.
Lösung
Wenn Sie das ICG Root-Zertifikat nicht austauschen wollen (was eine Neuinstallation des ICG und eine erneute Registrierung aller Geräte bedeutet), können Sie einen Startparameter hinzufügen, der den UMS Server anweist, das CA-Flag im Zertifikat zu ignorieren.
Dieser Startparameter wird bei jedem Update der UMS überschrieben, so dass Sie ihn nach dem Update erneut setzen müssen.
Folgen Sie den Anweisungen unten, je nach verwendetem Betriebssystem.
Für Windows
Öffnen Sie den Windows-Dialog Dienste und stoppen Sie den Dienst IGELRMGUIServer.
Gehen Sie in das folgende Verzeichnis:
<UMS installation directory>\RemoteManager\rmguiserver\bin
(Beispiel:C:\Program Files (x86)\IGEL\RemoteManager\rmguiserver\bin
)Doppelklicken Sie editTomcatService.
Bestätigen Sie den Warndialog.
Wählen Sie die Registerkarte Java.
Fügen Sie unter Java-Optionen den folgenden Eintrag als neue Zeile hinzu:
-Djdk.security.allowNonCaAnchor=true
Klicken Sie auf Ok, um die Änderungen zu speichern.
Starten Sie im Windows-Dialog Dienste den Dienst IGELRMGUIServer.
Für Linux
Stoppen Sie den Dienst
igelRMserver
Gehen Sie in das Verzeichnis
/opt/IGEL/RemoteManager/rmguiserver/bin
Öffnen Sie die Datei
igelRMserver
Fügen Sie vor jedem der beiden Einträge
-Xmx4096
eine neue Zeile mit folgendem Inhalt ein:-Djdk.security.allowNonCaAnchor=true
Speichern Sie die Änderungen.
Starten Sie den Dienst
igelRMserver