Symptom
Die UMS kann sich nicht mit dem IGEL Cloud Gateway (ICG) verbinden. Die folgende Nachricht erscheint auf der Bedienoberfläche oder in der Protokolldatei:
TrustAnchor ...is not a CA certificate
Caused by: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=UMS-CLUSTER--xxx, O=test, L=test, C=US" is not a CA certificate
at sun.security.validator.PKIXValidator.doValidate(PKIXValidator.java:380)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:273)
at sun.security.validator.Validator.validate(Validator.java:262)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:327)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:236)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:113)
at de.igel.apps.usg.connection.ssl.TrustedOnlyTrustManager.checkServerTrusted(TrustedOnlyTrustManager.java:74)
at sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1099)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1622)
... 54 more
Umgebung
- UMS 6.04 oder höher
- ICG mit älteren Stammzertifikaten, die von UMS 5.07 oder UMS 5.08 erstellt wurden
Problem
Ältere ICG-Stammzertifikate (mit UMS 5.07 oder 5.08 erstellt) haben nicht den richtigen CA-Modifikator, was mit bisherigen Java-Versionen kein Problem darstellte. Die ab UMS 6.4.x verwendete Java-Version jedoch blockiert diese Zertifikate.
So prüfen Sie, ob Sie ein altes ICG-Stammzertifikat haben:
- Öffnen Sie die UMS Konsole, gehen Sie zu UMS Administration > Globale Konfiguration > Cloud Gateway Konfiguration und selektieren Sie Ihr ICG-Stammzertifikat.
- Klicken Sie , um den Inhalt des Zertifikats anzusehen.
Wenn Certificate Authority auf "false" gesetzt ist, haben Sie ein altes ICG-Stammzertifikat.
Lösung
Wenn Sie das ICG-Stammzertifikat nicht austauschen wollen (was eine Neuinstallation des ICG und eine erneute Registrierung aller Geräte bedeutet), können Sie einen Startparameter hinzufügen, der den UMS Server anweist, das CA-Flag im Zertifikat zu ignorieren.
Dieser Startparameter wird bei jedem Update der UMS überschrieben, so dass Sie ihn nach dem Update erneut setzen müssen.
Folgen Sie den Anweisungen unten, je nach verwendetem Betriebssystem.
Für Windows
- Öffnen Sie den Windows-Dialog Dienste und stoppen Sie den Dienst IGELRMGUIServer.
- Gehen Sie in das folgende Verzeichnis:
<UMS Installationsverzeichnis>\RemoteManager\rmguiserver\bin
(Beispiel: C:\Program Files (x86)\IGEL\RemoteManager\rmguiserver\bin
) - Doppelklicken Sie editTomcatService.
- Bestätigen Sie den Warndialog.
- Wählen Sie die Registerkarte Java.
- Fügen Sie unter Java Options den folgenden Eintrag als neue Zeile hinzu:
-Djdk.security.allowNonCaAnchor=true
- Klicken Sie Ok, um die Änderungen zu speichern.
Für Linux
- Stoppen Sie den Dienst
igelRMserver
- Gehen Sie in das Verzeichnis
/opt/IGEL/RemoteManager/rmguiserver/bin
- Öffnen Sie die Datei
igelRMserver
- Fügen Sie vor jedem der beiden Einträge
-Xmx4096
eine neue Zeile mit folgendem Inhalt ein:
-Djdk.security.allowNonCaAnchor=true
- Speichern Sie die Änderungen.
- Starten Sie den Dienst
igelRMserver