Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Aktualisierung Business Edition 21.4 - certificate verification failed
« previous
next »
Print
Pages: [
1
]
Author
Topic: Aktualisierung Business Edition 21.4 - certificate verification failed (Read 1454 times)
Artist
Newbie
Posts: 6
Karma: 0
Aktualisierung Business Edition 21.4 - certificate verification failed
«
on:
May 11, 2022, 05:09:33 pm »
Mein erster Post in diesem Forum.
Seit kurzem betreibe ich eine OPNsense auf einer Landitec Appliance, gekauft mit einer vorinstallierten BE-Version 21.4.
Leider wurde mir der Token für die Subsciption nicht mitgeteilt, und ich wusste gar nicht, dass ich den eintragen muss. Deshalb konnte ich auch nicht auf den Mirror von Deciso (commercial) zugreifen.
Ich habe mir also schon ein paar Erweiterungen von einem anderen Mirror installiert, z.B. nginx, postfix, acme-client usw.
Jetzt habe ich den Token, aber wenn ich jetzt auf "Aktualisieren" klicke, bekomme ich folgendes Log:
***GOT REQUEST TO CHECK FOR UPDATES***
Fetching changelog information, please wait... Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
3675274227712:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
fetch:
https://opnsense-update.deciso.com/77b0df81-48bd-4abd-8918-f443aba794e0/FreeBSD:12:amd64/21.1/sets/changelog.txz.sig
: Authentication error
Updating OPNsense repository catalogue...
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg:
https://opnsense-update.deciso.com/77b0df81-48bd-4abd-8918-f443aba794e0/FreeBSD:12:amd64/21.1/latest/meta.txz
: Authentication error
repository OPNsense has no meta file, using default settings
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg:
https://opnsense-update.deciso.com/77b0df81-48bd-4abd-8918-f443aba794e0/FreeBSD:12:amd64/21.1/latest/packagesite.txz
: Authentication error
Unable to update repository OPNsense
Error updating repositories!
pkg: Repository OPNsense cannot be opened. 'pkg update' required
Checking integrity... done (0 conflicting)
Your packages are up to date.
***DONE***
Die Mirror-Adresse, die ich gar nicht ändern kann, lautet seltsamerweise:
https://opnsense-update.deciso.com/subscription-key/FreeBSD:12:amd64/21.1
Was Zertifikate angeht: Bei der vorinstallierten OPNsense war das Zertifikat "Web GUI TLS certificate" doppelt vorhanden. Eins davon habe ich gelöscht, nachdem ich selbst eine CA und ein neues eigenes Zertifikat für die Web GUI erstellt habe. Das verbliebene Web GUI TLS certificate ist m.E. unbenutzt.
Ansonsten habe ich noch eine separate eigene CA für meinen Proxy, und der ACME-Client hat mir noch die R3 CA von Let's encrypt dazugelegt.
Wo liegt nun das Problem mit den Aktualisierungen und dem Abruf der verfügbaren Erweiterungen auf dem Deciso-Mirror? Wäre nett, wenn mir da jemand helfen kann.
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: Aktualisierung Business Edition 21.4 - certificate verification failed
«
Reply #1 on:
May 12, 2022, 10:28:36 am »
Hi Artist,
Wegen Let's Encrypt gab es grosse Probleme. In einer deiner Authorities ist durch das Plugin ein schlechtes Intermediate eingewandert welches Anfang des Jahres abgelaufen ist aber OpenSSL überlistet bei der Verifizierung und diese dann fehlschlägt.
Am besten mal die Let's Encrypt Bundles aus System: Trust: Authorities rauskopieren und dann in in der GUI löschen, dann müsste das Update auch klappen.
Danach EINZELN wieder einfügen und schauen welches davon das Update wieder kaputt macht wenn es überhaupt noch passiert (gab da auch Fixes in bis 21.10).
Grüsse
Franco
«
Last Edit: May 12, 2022, 10:30:20 am by franco
»
Logged
Artist
Newbie
Posts: 6
Karma: 0
Re: Aktualisierung Business Edition 21.4 - certificate verification failed
«
Reply #2 on:
May 12, 2022, 10:45:13 pm »
Hi Franco!
Danke für den Hinweis! Habe nur die CA von Let's Encrypt rausgenommen, und schon ging's mit den Aktualisierungen.
Nächste Challange: Das Upgrade auf 22.4. Da werde ich mich aber erstmal etwas einlesen.
Gruß
Arti
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: Aktualisierung Business Edition 21.4 - certificate verification failed
«
Reply #3 on:
May 13, 2022, 07:40:27 am »
Hi Arti,
Ok, freut mich zu hören. Die 21.10.3 ist vorerst auch eine gute Version sich mit der Software vertraut zu machen (sofern notwendig) da diese in "business" Alter noch nicht schwerwiegend betagt ist (10.02.2022).
Grüsse
Franco
Logged
Artist
Newbie
Posts: 6
Karma: 0
Re: Aktualisierung Business Edition 21.4 - certificate verification failed
«
Reply #4 on:
May 19, 2022, 09:29:57 am »
Danke für den Hinweis, aber ich habe mich doch für das sofortige Upgrade auf 22.4 entschieden, so lange ich noch nicht so viel eingerichtet habe, was dann migriert werden müsste.
Ich bin ja noch OPNsense-Einsteiger und will alles neu aufsetzen, was ich bisher auf meiner Sophos hatte.
Next Steps: Let's Encrypt, Nginx, HAProxy, WebProxy, PostFix
Mit diesen Plugins bin ich bisher noch nicht so richtig zurecht gekommen bzw. muss mich noch etwas damit beschäftigen. Irgendwo hängt es halt immer. Wenn ich da nicht weiterkomme und nichts hilfreiches im Forum finde, mache ich aber mal ein neues Topic auf. ;-)
LG
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: Aktualisierung Business Edition 21.4 - certificate verification failed
«
Reply #5 on:
May 19, 2022, 09:32:29 am »
Hi Arti,
Auch ok, viel Erfolg mit der weiteren Einrichtung dann. Und gut zu hören dass der Sprung auf 22.4 dann auch gleich geklappt hat.
Grüsse
Franco
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Aktualisierung Business Edition 21.4 - certificate verification failed