1 Востаннє редагувалося frz (17.08.2022 22:08:49)

Тема: SUSE Linux - SSL certificate problem: unable to get local issuer cert

При спробі встановлення необхідної тулзи отримую ось таку помилку:

~> sudo zypper install package1
Retrieving repository 'prod-current-patch-set-sle-manager-tools12-pool-x86_64-sp5' metadata ----------------------------------------------------------------------[\]
Download (curl) error for 'https://server1.internal:443/rhn/manager/download/prod-current-patch-set-sle-manager-tools12-pool-x86_64-sp5/repodata/repomd.xml?eyJhbGciOiJIUzI1Ni':
Error code: Curl error 60
Error message: SSL certificate problem: unable to get local issuer certificate

Це лише на одному з серверів.

Поки що ком'юніті порадило глянути вміст файлу RHN-ORG-TRUSTED-SSL-CERT і перевірити з вмістом того ж файлу на інших серверах, де такої проблеми не виникло. Також одразу ж додатково побажали успіхів у з'ясуванні, бо це щось таке специфічне.

----

Пробував

sudo zypper install package1 --no-gpg-checks

не допомогло.

----

Щось настільки вузькоспеціалізоване, що в команді openSUSE не можуть допомогти, скерували саме до команди SUSE.

2

Re: SUSE Linux - SSL certificate problem: unable to get local issuer cert

Скажіть будь ласка, а хто такий server1.internal, з якого має скачатись пакет?
У нього взагалі є довірений SSL-сертифікат? Якщо так, то ким виданий?
Чи самопідписаний? Якщо так, то чи наявний кореневий сертифікат підписанта у відповідному сховищі системи?

3

Re: SUSE Linux - SSL certificate problem: unable to get local issuer cert

quwy написав:

Скажіть будь ласка, а хто такий server1.internal, з якого має скачатись пакет?
У нього взагалі є довірений SSL-сертифікат? Якщо так, то ким виданий?
Чи самопідписаний? Якщо так, то чи наявний кореневий сертифікат підписанта у відповідному сховищі системи?

Гарні запитання. Цей сервер1.інтернал - корпоративний репозиторій, бо фірма не хоче аби встановлювали щось з інтернету, натомість все робиться в локальній мережі.

Наскільки я здогадуюся, довірений ссл-сертифікат повинен бути, бо інші лінукс хости не мають такої проблеми.

Наскільки здогадуюся, самопідписаний.

А от чи наявний кореневий сертифікат підписанта у відповідному сховищі системи - поки не знаю як перевірити.

Є ідеї які мають бути наступні кроки?

4

Re: SUSE Linux - SSL certificate problem: unable to get local issuer cert

Знайшов команду як скачати сертифікат:

openssl s_client -connect server1.internal:443 -showcerts >> ~/self_signed_ssl_cert.txt

Маю тепер змогу переглянути його за допомогою команди

less ~/self_signed_ssl_cert.txt

Тепер шукаю що робити з ним далі...

5

Re: SUSE Linux - SSL certificate problem: unable to get local issuer cert

Взяв суто стрічки починаючи від BEGIN CERTIFICATE і закінчуючи END CERTIFICATE (включно) і записав файл як /etc/pki/trust/anchors/server1_internal.pem -- але не допомогло, отримую ту ж помилку...

6 Востаннє редагувалося frz (18.08.2022 13:17:42)

Re: SUSE Linux - SSL certificate problem: unable to get local issuer cert

Скопіював файл /etc/pki/trust/anchors/server1_internal.pem також у директорію /etc/ssl/certs

Запустив команду

sudo c_rehash /etc/ssl/certs

Знову запускаю

sudo zypper install package

Зникла помилка про SSL сертифікат!

З'явилася нова помилка:

Retrieving repository 'prod-current-patch-set-sle-manager-tools12-pool-x86_64-sp5' metadata -----
Permission to access 'https://server1.internal:443/rhn/manage … lergjkergj' denied

Цікаво що робити далі... Але це вже до місцевих адмінів мабуть (котрі зовсім не поспішають відповісти).

7

Re: SUSE Linux - SSL certificate problem: unable to get local issuer cert

Ця помилка вже тому, що server1.internal не надає вам доступ до файлу, мабуть, фільтрує по IP. З цією помилкою треба розбиратись вже на сервері, там має бути звичайний web-сервер apache чи nginx і в його логах можна пошукати деталі помилки.

8

Re: SUSE Linux - SSL certificate problem: unable to get local issuer cert

Можливо в маленькій компанії це простіше, але тут в корпорації цілком може бути що я ніколи не отримаю доступ до server1.internal аби дивитися логи апача. А на мій попередній вузькоспеціалізований тікет відреагували лише через декілька тижнів, і то через те що я написав що вже пофіксив зі свого боку, тож вони просто його закрили, а досі була тиша. Поспішайте повільно ))

Дещо розслабився після сьогоднішнього виконаного завдання. Бо за винятком вищезгаданої проблеми, зібрав перфоманс статистику з решти працюючих серверів датацентру N. Надіслав в наш груповий чат, а мені такі - а, то це група серваків preview, ну дякуємо але це може зачекати на потім. А нічого важливішого за preview мені поки що не дають. Ну й добре. Читатиму книжку О'Рейлі по темі, слухатиму мітинги які прямо мене не стосується, але на які мене запросили. Гроші за це все одно мають платити.