Fehlersuche: UMS verbindet sich nicht mit ICG: "TrustAnchor ...ist kein CA-Zertifikat"
Symptom
Der UMS kann sich nicht mit dem IGEL Cloud Gateway (ICG) verbinden. Die folgende Meldung erscheint in der GUI oder in der Protokolldatei:
TrustAnchor ...is not a CA certificate
Caused by: sun.security.validator.ValidatorException: PKIX-Pfadüberprüfung fehlgeschlagen: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=UMS-CLUSTER--xxx, O=test, L=test, C=US" is not a CA certificate
at sun.security.validator.PKIXValidator.doValidate(PKIXValidator.java:380)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:273)
at sun.security.validator.Validator.validate(Validator.java:262)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:327)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:236)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:113)
at de.igel.apps.usg.connection.ssl.TrustedOnlyTrustManager.checkServerTrusted(TrustedOnlyTrustManager.java:74)
at sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1099)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1622)
... 54 mehr
Umwelt
UMS 6.04 oder höher
ICG mit älteren Root Zertifikaten, die mit UMS 5.07 oder UMS 5.08
Problem
Ältere ICG root Zertifikate (erstellt mit UMS 5.07 oder UMS 5.08) haben nicht den richtigen CA-Modifikator, was bei früheren Java-Versionen nie ein Problem war. Doch die ab UMS 6.4.x verwendete Java-Version blockiert diese Zertifikate.
Um zu prüfen, ob Sie ein altes ICG Root-Zertifikat haben:
Öffnen Sie die UMS Konsole, gehen Sie zu UMS Administration > Global Configuration > Cloud-Gateway und wählen Sie Ihr ICG Root-Zertifikat aus.
Klicken Sie auf
, um den Inhalt des Zertifikats zu lesen.
Wenn Zertifikat Authority auf "false" gesetzt ist, haben Sie ein altes ICG Root Zertifikat.
Lösung
Wenn Sie das ICG Root-Zertifikat nicht austauschen wollen (was eine Neuinstallation des ICG und eine Neuregistrierung aller Endgeräte erfordert), können Sie einen Startparameter hinzufügen, der den UMS Server anweist, das CA-Flag im Zertifikat zu ignorieren.
Dieser Startparameter wird bei jeder UMS Update-Installation überschrieben, so dass Sie ihn nach dem Update erneut setzen müssen.
Befolgen Sie die nachstehenden Anweisungen, je nach Betriebssystem.
Für Windows
Öffnen Sie den Windows-Dialog Dienste und beenden Sie den Dienst IGELRMGUIServer.
Navigieren Sie in das Verzeichnis
<UMS Installationsverzeichnis
(Beispiel: RemoteManager:C:\Program Files (x86)\IGEL\RemoteManager\rmguiserver\bin
)Doppelklicken Sie auf editTomcatService.
Bestätigen Sie den Warndialog.
Wählen Sie die Registerkarte Java.
Unter Java-Optionen fügen Sie den folgenden Eintrag als neue Zeile hinzu:
-Djdk.security.allowNonCaAnchor=true
Klicken Sie auf Ok, um die Änderungen zu speichern.
Starten Sie im Windows-Dialog Services den Dienst IGELRMGUIServer.
Für Linux
Stoppen Sie den Dienst
igelRMserver
Navigieren Sie in das Verzeichnis
/opt/IGEL/RemoteManager/rmguiserver/bin
Öffnen Sie die Datei
igelRMserver
Finden Sie die beiden Einträge
-Xmx4096
und fügen Sie vor jedem Eintrag eine neue Zeile mit folgendem Inhalt ein:-Djdk.security.allowNonCaAnchor=true
Speichern Sie die Änderungen.
Starten Sie den Dienst
igelRMserver