Symptom

Die UMS kann sich nicht mit dem IGEL Cloud Gateway (ICG) verbinden. Die folgende Nachricht erscheint auf der Bedienoberfläche oder in der Protokolldatei:

TrustAnchor ...is not a CA certificate

Caused by: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=UMS-CLUSTER--xxx, O=test, L=test, C=US" is not a CA certificate
at sun.security.validator.PKIXValidator.doValidate(PKIXValidator.java:380)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:273)
at sun.security.validator.Validator.validate(Validator.java:262)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:327)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:236)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:113)
at de.igel.apps.usg.connection.ssl.TrustedOnlyTrustManager.checkServerTrusted(TrustedOnlyTrustManager.java:74)
at sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1099)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1622)
... 54 more

Umgebung

  • UMS 6.04 oder höher
  • ICG mit älteren Stammzertifikaten, die von UMS 5.07 oder UMS 5.08 erstellt wurden

Problem

Ältere ICG-Stammzertifikate (mit UMS 5.07 oder 5.08 erstellt) haben nicht den richtigen CA-Modifikator, was mit bisherigen Java-Versionen kein Problem darstellte. Die ab UMS 6.4.x verwendete Java-Version jedoch blockiert diese Zertifikate.

So prüfen Sie, ob Sie ein altes ICG-Stammzertifikat haben:

  1. Öffnen Sie die UMS Konsole, gehen Sie zu UMS Administration > Globale Konfiguration > Cloud Gateway Konfiguration und selektieren Sie Ihr ICG-Stammzertifikat.
  2. Klicken Sie , um den Inhalt des Zertifikats anzusehen.
    Wenn Certificate Authority auf "false" gesetzt ist, haben Sie ein altes ICG-Stammzertifikat.

Lösung

Wenn Sie das ICG-Stammzertifikat nicht austauschen wollen (was eine Neuinstallation des ICG und eine erneute Registrierung aller Geräte bedeutet), können Sie einen Startparameter hinzufügen, der den UMS Server anweist, das CA-Flag im Zertifikat zu ignorieren.

Dieser Startparameter wird bei jedem Update der UMS überschrieben, so dass Sie ihn nach dem Update erneut setzen müssen.

Folgen Sie den Anweisungen unten, je nach verwendetem Betriebssystem.

Für Windows

  1. Öffnen Sie den Windows-Dialog Dienste und stoppen Sie den Dienst IGELRMGUIServer.
  2. Gehen Sie in das folgende Verzeichnis: <UMS Installationsverzeichnis>\RemoteManager\rmguiserver\bin (Beispiel: C:\Program Files (x86)\IGEL\RemoteManager\rmguiserver\bin)
  3. Doppelklicken Sie editTomcatService.
  4. Bestätigen Sie den Warndialog.
  5. Wählen Sie die Registerkarte Java.
  6. Fügen Sie unter Java Options den folgenden Eintrag als neue Zeile hinzu:
    -Djdk.security.allowNonCaAnchor=true
  7. Klicken Sie Ok, um die Änderungen zu speichern.

Für Linux

  1. Stoppen Sie den Dienst igelRMserver
  2. Gehen Sie in das Verzeichnis /opt/IGEL/RemoteManager/rmguiserver/bin
  3. Öffnen Sie die Datei igelRMserver
  4. Fügen Sie vor jedem der beiden Einträge -Xmx4096 eine neue Zeile mit folgendem Inhalt ein: 
    -Djdk.security.allowNonCaAnchor=true
  5. Speichern Sie die Änderungen.
  6. Starten Sie den Dienst igelRMserver