Skip to main content
Skip table of contents

Fehlersuche: UMS verbindet sich nicht mit ICG: "TrustAnchor ...ist kein CA-Zertifikat"

Symptom

Der UMS kann sich nicht mit dem IGEL Cloud Gateway (ICG) verbinden. Die folgende Meldung erscheint in der GUI oder in der Protokolldatei:

TrustAnchor ...is not a CA certificate

Caused by: sun.security.validator.ValidatorException: PKIX-Pfadüberprüfung fehlgeschlagen: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=UMS-CLUSTER--xxx, O=test, L=test, C=US" is not a CA certificate
at sun.security.validator.PKIXValidator.doValidate(PKIXValidator.java:380)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:273)
at sun.security.validator.Validator.validate(Validator.java:262)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:327)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:236)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:113)
at de.igel.apps.usg.connection.ssl.TrustedOnlyTrustManager.checkServerTrusted(TrustedOnlyTrustManager.java:74)
at sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1099)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1622)
... 54 mehr

Umwelt

  • UMS 6.04 oder höher

  • ICG mit älteren Root Zertifikaten, die mit UMS 5.07 oder UMS 5.08

Problem 

Ältere ICG root Zertifikate (erstellt mit UMS 5.07 oder UMS 5.08) haben nicht den richtigen CA-Modifikator, was bei früheren Java-Versionen nie ein Problem war. Doch die ab UMS 6.4.x verwendete Java-Version blockiert diese Zertifikate.

Um zu prüfen, ob Sie ein altes ICG Root-Zertifikat haben:

  1. Öffnen Sie die UMS Konsole, gehen Sie zu UMS Administration > Global Configuration > Cloud-Gateway und wählen Sie Ihr ICG Root-Zertifikat aus.

  2. Klicken Sie auf , um den Inhalt des Zertifikats zu lesen.
    Wenn Zertifikat Authority auf "false" gesetzt ist, haben Sie ein altes ICG Root Zertifikat.

Lösung

Wenn Sie das ICG Root-Zertifikat nicht austauschen wollen (was eine Neuinstallation des ICG und eine Neuregistrierung aller Endgeräte erfordert), können Sie einen Startparameter hinzufügen, der den UMS Server anweist, das CA-Flag im Zertifikat zu ignorieren.

Dieser Startparameter wird bei jeder UMS Update-Installation überschrieben, so dass Sie ihn nach dem Update erneut setzen müssen.

Befolgen Sie die nachstehenden Anweisungen, je nach Betriebssystem.

Für Windows

  1. Öffnen Sie den Windows-Dialog Dienste und beenden Sie den Dienst IGELRMGUIServer.

  2. Navigieren Sie in das Verzeichnis <UMS Installationsverzeichnis(Beispiel: RemoteManager: C:\Program Files (x86)\IGEL\RemoteManager\rmguiserver\bin)

  3. Doppelklicken Sie auf editTomcatService.

  4. Bestätigen Sie den Warndialog.

  5. Wählen Sie die Registerkarte Java.

  6. Unter Java-Optionen fügen Sie den folgenden Eintrag als neue Zeile hinzu:
    -Djdk.security.allowNonCaAnchor=true

  7. Klicken Sie auf Ok, um die Änderungen zu speichern.

  8. Starten Sie im Windows-Dialog Services den Dienst IGELRMGUIServer.

Für Linux

  1. Stoppen Sie den Dienst igelRMserver

  2. Navigieren Sie in das Verzeichnis /opt/IGEL/RemoteManager/rmguiserver/bin

  3. Öffnen Sie die Datei igelRMserver

  4. Finden Sie die beiden Einträge -Xmx4096 und fügen Sie vor jedem Eintrag eine neue Zeile mit folgendem Inhalt ein:
    -Djdk.security.allowNonCaAnchor=true

  5. Speichern Sie die Änderungen.

  6. Starten Sie den Dienst igelRMserver

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.