Hauptmenü

Verbindung zum Backend nicht möglich

Begonnen von Marvin G. - FZJ, 31.05.2022 09:53:29

⏪ vorheriges - nächstes ⏩

Marvin G. - FZJ

Hallo,


ich habe mich seit ein paar Wochen nicht mehr mit meinem KIX 18 beschäftigt. Nun wollte ich dort ein wenig weiter machen, stelle aber fest, dass ich nicht mehr an die API dran komme. In Insomnia z.B. wird mir folgendes angezeigt: Error: SSL peer certificate or SSH remote key was not OK
Wenn ich in Insomnia die Einstellung "Validate certificates" deaktiviere, funktioniert es, dass ist aber ja nicht so wirklich Sinn der Sache.
Das Frontend erreiche ich über den Browser, SSL funktioniert und alles wird als gültig angezeigt.


Ich habe versucht, wie im github in der Anleitung beschrieben, die CA-Kette hinzuzufügen. Eine Datei in den Ordner "ca-bundle" zu legen ging bei mir nicht. In den Logs wurden mir dann immer Fehler angezeigt. Diese verschwinden, wenn ich statt eines Ordners eine Datei "ca-bundle" anlege und da die Kette als Inhalt rein schreibe. Könnte das das Problem sein? Wir die CA-Kette in einem bestimmten Dateiformat im ca-bundle-Ordner erwartet?


Viele Grüße
Marvin

Marvin G. - FZJ


Noch als Hinweis dazu: Wenn ich die Zertifikatskette als .crt-Datei in den ca-bundle Ordner ablege, steht in den logs folgendes:




proxy_1     | 2022/05/31 09:19:54 [emerg] 1#1: SSL_CTX_load_verify_locations("/etc/nginx/conf.d/ssl/certs/ca-bundle") failed (SSL: error:0B084088:x509 certificate routines:X509_load_cert_crl_file:no certificate or crl found)
proxy_1     | nginx: [emerg] SSL_CTX_load_verify_locations("/etc/nginx/conf.d/ssl/certs/ca-bundle") failed (SSL: error:0B084088:x509 certificate routines:X509_load_cert_crl_file:no certificate or crl found)
kixstag_proxy_1 exited with code 1

Torsten Thau

Hallo Marvin,

davon ausgehend, dass der Inhalt des CA-Bundle-Files korrekt ist: kannst Du bitte probieren, die Zertifikatskette in einer Datei abzulegen und den Pfad in der Konfiguration auf genau diese Datei anzupassen? D.h. in Datei "./proxy/ssl/ssl.conf" die Zeile


# instead if...
# ssl_trusted_certificate     /etc/nginx/conf.d/ssl/certs/ca-bundle;
# ...try this...
ssl_trusted_certificate     /etc/nginx/conf.d/ssl/certs/ca-bundle-file.crt;


CU, Torsten


Marvin G. - FZJ

Hallo Torsten,


das habe ich bereits probiert, leider ohne Erfolg. 


Ich habe zwischenzeitlich eine Möglichkeit gefunden. Wenn ich den Inhalt des CA-Bundles mit in den öffentlichen Teil meines Schlüssels schreibe (also in die server.crt), dann funktioniert alles. Ich habe in der server.crt also den öffentlichen Teil des Zertifikates und die gesamte Kette. Den in der Anleitung beschriebenen Teil mit dem Weg über ssl_trusted_certificate kann man sich dann dabei ganz sparen.


Viele Grüße 
Marvin