19.1.5: /var/etc/ca.pem zerstört

[tom.goes.open]

Hallo zusammen,

habe gerade das Update auf die 19.1.5 versucht - leider hat sich der Updater beim Löschen von libmcrypt verschluckt, und ist jetzt die webGUI massiv gestört. Die Ausgabe dazu in der /var/log/system.log:

opnsense: /usr/local/etc/rc.reload_all: The command '/usr/local/sbin/lighttpd -f /var/etc/lighty-webConfigurator.conf' returned exit code '255', the output was '2019-
04-05 23:04:38: (mod_openssl.c.885) SSL: error:09FFF066:PEM routines:CRYPTO_internal:bad end line /var/etc/ca.pem 2019-04-05 23:04:38: (mod_openssl.c.1089) SSL: error:09FFF066:PEM routines:
CRYPTO_internal:bad end line /var/etc/ca.pem 2019-04-05 23:04:38: (server.c.1183) Initialization of plugins failed. Going down.'

In der ca.pem ist tatsächlich die Hälfte vom Zertifikat abgeschnitten.
Ich habe nun versuchsweise über SSH / Shell "meine" ca.pem wieder eingespielt, leider hält das nur bis zum Reboot, dann startet der lighttpd wieder nicht.

Mein nächster Versuch:

Code Select Expand

chflags schg /var/etc/ca.pem

führt beim Boot zu

Warning fopen(/var/etc/ca.pem): failed to open stream: Operation not permitted

Manuell starten mit

Code Select Expand

/usr/local/sbin/lighttpd -f /var/etc/lighty-webConfigurator.conf funktioniert.

Meine Frage: wird die ca.pem beim Boot aus irgendeiner anderen Datei erstellt?

Danke!


Nachtrag: in der webGUI unter System: Trust: Authorities war das Zertifikat mit Distinguished Name = unknown eingetragen. Ein erneutes Hochladen brachte Besserung.

[hbc]

Meine Frage: wird die ca.pem beim Boot aus irgendeiner anderen Datei erstellt?

Die Zertifikate werden in der Konfiguration (config.xml) gesichert und daraus wieder hergestellt.
Daher hat Dein manuelles Einspielen den Reboot nicht überlebt, da das Defekte wiederhergestellt wurde.

Deshalb funktioniert es jetzt wieder, nachdem Du es mit der GUI wieder richtig in der Konfiguration hinterlegt hast.

[tom.goes.open]

Verstehe! Die Frage ist nun also, wieso das Update die Zertifikate zerschossen hat bzw. die Zertifikate jetzt anderes behandelt werden - habe ich das in den Changelogs verpasst?

Es geht nämlich heiter weiter:

openvpn[56933]: Exiting due to fatal error
openvpn[56933]: Cannot load CA certificate file /var/etc/openvpn/server1.ca (no entries were read)

Nach der Neuauswahl:

certificate A-VPN_Server is not intended for server use

[franco]

In System: Config: History kann man Schritt für Schritt prüfen welche Config-Änderung dazu geführt hat. Welche Seite / Skript war es?


Grüsse
Franco

[hbc]

leider hat sich der Updater beim Löschen von libmcrypt verschluckt, und ist jetzt die webGUI massiv gestört.

Vielleicht ist das neue Paket nicht richtig installiert? Man kann doch unter Firmware:Packages die Pakete neu installieren. Evtl. bringt das Abhilfe.

[franco]

Für das "Verschlucken" gibt es das Health Audit... Da kann man prüfen ob jede einzelne Datei die da sein sollte auch korrekt installiert ist.


Grüsse
Franco

[tom.goes.open]

Ich bin begeistert... Besonders die Config-History ist ja genial.
Während des Updates lief wohl

4/5/19 23:33:19    126 KB    (system): /usr/local/opnsense/mvc/script/run_migrations.php made changes

aber eine Änderung an Trust/CA/Certificates kann ich nicht erkennen. Eigenartig. Ich hoffe jetzt, dass nicht ein Hardware-Defekt vorliegt.

Ein Update auf einem zweiten Router lief problemlos, ebenso der Sprung auf 19.1.6 auf beiden Geräten.

Danke jedenfalls für eure Ratschläge.

[franco]

Danke für die Infos. Migration run ist normal.

Vielleicht ist es ein Problem mit dem RAM. Lohnt sich den mal durchzuprüfen wenn etwas Zeit dafür da ist.


Grüsse
Franco