Erledigt – Im Moment habe ich den Verdacht, dass ich die LE-certs, die das OPNSense-Plugin erzeugt hat, aus irgendwelchen Gründen nicht fehlerfrei weiterverwenden kann … Warum es scheitert, ist mir zwar nicht klar aber eine bessere Erklärung habe ich auch nicht.
Die Lösung ist einfacher als gedacht …
Ich habe unter /etc/samba/smb.conf den Eintrag
#tls certfile = /etc/linuxmuster/ssl/server.cert.pem
getauscht gegen diesen:
tls certfile = /etc/linuxmuster/ssl/fullchain.pem
Danach wurde die Chain vom Client aus sofort akzeptiert!
Bleibt natürlich die Frage, ob ajenti mit dem intermediate-cert auch klar kommt? Das müsste @Arnaud wissen, oder?
Übrigens @mdt: Die Sache mit cups ist hier auch so – seltsam.
Hi Michael,
Ja, das weiss er :
cat /PATH/ZUR/privkey.pem > mycert.pem
cat /PATH/ZUR/fullchain.pem >> mycert.pem
Und dann /PATH/ZUR/mycert.pem in /etc/ajenti/config.yml eintragen, und die WebUi neu starten.
Gruß
Arnaud
Also kommt der Key doch nach oben?? Das stand in der Anleitung, die oben verlinkt ist, aber anders. Da hieß es, dass der Key immer ans Ende gehört…???
Das macht nichts für Ajenti : Python liest die Datei und extrahiert die Daten ( Privkey, CA, usw … ), egal wie die Reihefolge ist.
Gruß
Arnaud
Funktioniert leider nicht … es bleibt hier bei
Verify return code: 21 (unable to verify the first certificate)
Auf Port 636 ist die Meldung jetzt -wie gesagt- weg.
Ja, es stimmt : wir arbeiten, du und ich, in verschiedene Umgebungen.
Ich habe das SSL-Modul in Ajenti in Dezember komplett neu geschrieben. Die Version von Ajenti, die diese Änderungen enthält, ist 2.1.33, und du hast die 2.1.32.
Mit der 2.1.33 habe ich nicht mehr dieses Problem, aber die WebUi soll noch angepasst werden ( und getestet sein ), um ein Upgrade von Ajenti durchzuführen.
Im Kurz : es kommt bald, aber bitte NICHT Ajenti upgraden, ansonstens kann es zur Probleme führen.
Gruß
Arnaud
Hallo Arnaud.
Ok – aber gut zu wissen, dass das Problem gelöst ist. Der Zugriff über den Browser
klappt ja (seltsamerweise) trotzdem. Da wird immer ein gültiges Zertifikat angezeigt.
Schöne Grüße,
Michael
Ja, das cups setup ist kaputt, das Zertifikat ist auch anders (s:C = DE, CN = server.lmn.lan, O = server.lmn.lan, OU = Unknown, ST = Unknown, L = Unknown) und cups akzeptiert das andre nicht (ich hatte mich verlesen, als ich oben Erfolg meldete, es geht nicht).
… hatte mich schon gewundert. Hier wurden die files unter cups auch neu angelegt. Ich meine, dass sie nach einem service cups restart wieder da waren??
Um das nochmal aufzugreifen:
Momentan ist ajenti 33 im Linuxmuster-testing Zweig. Ich stecke da nicht so tief drin wie Arnaud, aber das könntest du jetzt sicherlich ausprobieren.
Hallo Andreas,
Um das nochmal aufzugreifen:
Momentan ist ajenti 33 im Linuxmuster-testing Zweig. Ich stecke da nicht
so tief drin wie Arnaud, aber das könntest du jetzt sicherlich ausprobieren.
wie bekomme ich den raus, welche ajenti Version auf meinem Server läuft?
LG
Holger
dpkg -l |grep webui
(die 33 verstehe ich aber auch nicht – muss es nicht .116. heißen?
https://archive.linuxmuster.net/lmn7-testing/ )
Ihr missversteht mich hier ein bisschen.
Die .116 installiert Ajenti33 mit.
Ajenti Version kannst du dir mit pip freeze | grep aj
ausgeben lassen.
Hier sollte aber nie manuell aktualisiert werden, das übernehmen alles wir über das Linuxmuster Paket.
Hallo,
Das möchte ich betonnen : die verschiedene Skripts in Linuxmuster sorgen dafür, dass die neue Konfiguration von Ajenti 2.1.33 angepasst wird.
Gruß
Arnaud
Hallo Andreas,
Die .116 installiert Ajenti33 mit.
Ajenti Version kannst du dir mit pip freeze | grep aj
ausgeben lassen.
OK, sieht bei mir so aus:
pip freeze | grep aj
DEPRECATION: Python 2.7 will reach the end of its life on January 1st,
2020. Please upgrade your Python as Python 2.7 won’t be maintained after
that date. A future version of pip will drop support for Python 2.7.
More details about Python 2 support in pip, can be found at
https://pip.pypa.io/en/latest/development/release-process/#python-2-support
aj==2.1.33
ajenti-panel==2.1.33
ajenti.plugin.ace==0.26
ajenti.plugin.auth-users==0.29
ajenti.plugin.core==0.93
ajenti.plugin.dashboard==0.37
ajenti.plugin.filesystem==0.43
ajenti.plugin.passwd==0.22
ajenti.plugin.plugins==0.43
ajenti.plugin.session-list==0.1
ajenti.plugin.settings==0.26
Hier sollte aber nie manuell aktualisiert werden, das übernehmen alles
wir über das Linuxmuster Paket.
hatte ich nicht vor: wollte nur schauen, ob es alles da ist 
LG
Holger
Hallo MIchael,
Und ? Hast du Zeit gehabt, es zu testen ? Läuft es mit der neuen Version ?
Gruß
Arnaud
Bin im Moment nicht im testing-Repo. Daher noch mit WebUI .115 unterwegs …
Hab’s gerade getestet:
openssl s_client -connect server:443
liefert jetzt die komplette trusted chain und am Ende wie erhofft ein
Verify return code: 0 (ok)
Vom Client funktioniert das jetzt ebenfalls. Das Problem ist also gelöst. Danke, @Arnaud !
Hier nochmal als X-Link: