Skip to main content
Skip table of contents

Fehlerbehebung: UMS verbindet sich nicht mit dem ICG: "TrustAnchor ...ist kein CA-Zertifikat"

Symptom

Die UMS kann sich nicht mit dem IGEL Cloud Gateway (ICG) verbinden. Die folgende Nachricht erscheint auf der Bedienoberfläche oder in der Protokolldatei:


TrustAnchor ...is not a CA certificate

Caused by: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=UMS-CLUSTER--xxx, O=test, L=test, C=US" is not a CA certificate
at sun.security.validator.PKIXValidator.doValidate(PKIXValidator.java:380)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:273)
at sun.security.validator.Validator.validate(Validator.java:262)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:327)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:236)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:113)
at de.igel.apps.usg.connection.ssl.TrustedOnlyTrustManager.checkServerTrusted(TrustedOnlyTrustManager.java:74)
at sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1099)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1622)
... 54 more

Umgebung

  • UMS 6.04 oder höher

  • ICG mit älteren Root-Zertifikaten, die von UMS 5.07 oder UMS 5.08 erstellt wurden

Problem 

Ältere ICG Root-Zertifikate (mit UMS 5.07 oder 5.08 erstellt) haben nicht den richtigen CA-Modifikator, was mit bisherigen Java-Versionen kein Problem darstellte. Die ab UMS 6.4.x verwendete Java-Version jedoch blockiert diese Zertifikate.

So prüfen Sie, ob Sie ein altes ICG Root-Zertifikat haben

  1. Öffnen Sie die UMS Konsole, gehen Sie zu UMS Administration > Globale Konfiguration > Cloud Gateway Konfiguration und wählen Sie Ihr ICG Root-Zertifikat aus.

  2. Klicken Sie auf , um den Inhalt des Zertifikats anzusehen.
    Wenn Zertifizierungsstelle auf "false" gesetzt ist, haben Sie ein altes ICG Root-Zertifikat.

Lösung

Wenn Sie das ICG Root-Zertifikat nicht austauschen wollen (was eine Neuinstallation des ICG und eine erneute Registrierung aller Geräte bedeutet), können Sie einen Startparameter hinzufügen, der den UMS Server anweist, das CA-Flag im Zertifikat zu ignorieren.

Dieser Startparameter wird bei jedem Update der UMS überschrieben, so dass Sie ihn nach dem Update erneut setzen müssen.

Folgen Sie den Anweisungen unten, je nach verwendetem Betriebssystem.

Für Windows

  1. Öffnen Sie den Windows-Dialog Dienste und stoppen Sie den Dienst IGELRMGUIServer.

  2. Gehen Sie in das folgende Verzeichnis: <UMS installation directory>\RemoteManager\rmguiserver\bin(Beispiel: C:\Program Files (x86)\IGEL\RemoteManager\rmguiserver\bin)

  3. Doppelklicken Sie editTomcatService.

  4. Bestätigen Sie den Warndialog.

  5. Wählen Sie die Registerkarte Java.

  6. Fügen Sie unter Java-Optionen den folgenden Eintrag als neue Zeile hinzu:
    -Djdk.security.allowNonCaAnchor=true

  7. Klicken Sie auf Ok, um die Änderungen zu speichern.

  8. Starten Sie im Windows-Dialog Dienste den Dienst IGELRMGUIServer.

Für Linux

  1. Stoppen Sie den Dienst igelRMserver

  2. Gehen Sie in das Verzeichnis /opt/IGEL/RemoteManager/rmguiserver/bin

  3. Öffnen Sie die Datei igelRMserver

  4. Fügen Sie vor jedem der beiden Einträge -Xmx4096 eine neue Zeile mit folgendem Inhalt ein:
    -Djdk.security.allowNonCaAnchor=true

  5. Speichern Sie die Änderungen.

  6. Starten Sie den Dienst igelRMserver

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.