Ошибка проверки сертификата с Bareos и TLS

Question

Ошибка проверки сертификата с Bareos и TLS

У меня Bareos 17.2. 4-9 установлен на Debian Jessie. Он был собран из исходного кода с использованием переключателя - with-openssl .

Он отлично работает БЕЗ включенного TLS , однако, когда я пытаюсь настроить его для использования TLS, я получаю ...

# bconsole
Connecting to Director Server-Name:9101
Authorization problem with Director at "Server-Name:9101"
Most likely the passwords do not agree.
If you are using TLS, there may have been a certificate validation error during the TLS handshake.
Please see http://doc.bareos.org/master/html/bareos-manual-main-reference.html#AuthorizationErrors for help.

Я подозреваю, что это из-за проблемы проверки между САМОПОДПИСАННЫМ сертификатом и имя сервера. Доменное имя сервера НЕ установлено.

Я создал сертификат следующим образом ...

# hostname
Server-Name
# domainname
(none)
# openssl req -new -x509 -nodes -out Server-Name.pem -keyout Server-Name.pem -days 3650
# chmod 600 Server-Name.pem
Generating a 2048 bit RSA private key
..+++
............................+++
writing new private key to 'Server-Name.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:NI
Locality Name (eg, city) []:Leer
Organization Name (eg, company) [Internet Widgits Pty Ltd]:GNM
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:Server-Name
Email Address []:First.Last@redacted.de

Конфигурационные файлы:

/etc/bareos/bareos-dir.d/director/bareos-dir.conf

Director {                            # define myself
  Name = bareos-dir
  QueryFile = "/usr/lib/bareos/scripts/query.sql"
  Maximum Concurrent Jobs = 10
  Password = "secret"         # Console password
  Messages = Daemon
  Auditing = yes
  DirAddress = Server-Name
  TLS Enable = yes
  TLS Require = yes
  TLS CA Certificate File = /etc/bareos/TLS/Bareos-Server-Name.pem
  TLS Certificate = /etc/bareos/TLS/Bareos-Server-Name.pem
  TLS Key = /etc/bareos/TLS/Bareos-Server-Name.pem
#  TLS Verify Peer = yes
  TLS Allowed CN = Server-Name
}

/ etc / bareos /bconsole.conf[12107 impression

1

ssl configuration bacula bareos

задан BurningKrome 4 October 2018 в 20:20
Ссылка

2 ответа

Примечание: Начиная с версии Bareos 18.2, TLS включен по умолчанию , но сервер обратно совместим со старыми клиентами.

Попробуйте следующее:

Измените адрес клиента на сервере (в bareos-dir.d / client / *. Conf ) с имени на IP. Если это работает, то это означает, что ваш DNS-поиск не работает и BareOS не может проверить, что он обращается к нужному компьютеру.

Если у вас несколько интерфейсов, добавьте следующее в client /self.conf (или там, где конфигурация вашего клиента хранится в файловом демоне):

FD Address = IP-Address FD Source Address = IP-Address

Это определяет исходящий интерфейс для использования и уменьшает ошибки маршрутизации (полезно на облачных хостах). См. здесь для получения дополнительной информации об этом.

Если вы используете необычную или нестандартную ОС, вам может потребоваться указать расположение сертификата TLS или TLS CA Certificate Dir тоже. TLS Verify Peer также поможет определить, не проходит ли проверка однорангового узла.

Отладка - для проверки SSL-соединения

С каждой стороны (резервный сервер к клиенту и клиент к резервному серверу), попробуйте:

openssl s_client -connect [client-fqdn]:9102 -state -nbio

и

openssl s_client -connect [client-ip]:9102 -state -nbio

Бонусный ответ

Каждое соединение теперь поддерживает TLS, поэтому сбой аутентификации TLS не обязательно между Директором (сервером) и FileDaemon (клиентом). Однако о любом сбое TLS сообщается (неправильно) как таковое. Таким образом, ошибка типа:

Fatal error: Connect failure: ERR=error:140943FC:SSL routines:ssl3_read_bytes:sslv3 alert bad record mac Error: TLS shutdown failure.: ERR=error:140E0197:SSL routines:SSL_shutdown:shutdown while in init Fatal error: TLS negotiation failed

... может быть, например, ошибкой аутентификации TLS между директором и StorageDaemon.

Проверьте каждую ссылку!

1

ответ дан 3 December 2019 в 23:11
Ссылка

Попробуйте удалить кавычки из пароля в bareos-dir.conf и перезапустите.

0

ответ дан 3 December 2019 в 23:11
Ссылка

Теги

ssl configuration bacula bareos

Похожие вопросы

261
Как связать сервер MySQL больше чем с одним IP-адресом? - 24 February 2018 01:37

248
Это плохо для перенаправления http к https? - 24 February 2016 08:26

221
Как вызвать или перенаправить к SSL в nginx? - 23 June 2016 14:22

213
Какое-либо преимущество или вред от удаления файла подкачки на машине RAM на 8 ГБ? - 4 April 2018 22:14

200
Отображение удаленного сертификата SSL детализирует инструменты CLI использования - 24 January 2015 00:13

187
как загрузить сертификат SSL с веб-сайта? - 11 February 2014 07:46

152
Команда для проверки законности файлов конфигурации сервера Apache - 25 July 2018 04:34

142
Есть ли причина для использования сертификата SSL, кроме бесплатного SSL от Let's Encrypt? - 18 August 2018 12:29

115
Местоположение сертификата SSL на UNIX/Linux - 4 September 2009 18:57

109
Несколько доменов SSL на том же IP-адресе и том же порте? - 13 April 2017 15:14

104
Каковы различные использования для доступного сайтам по сравнению с conf.d каталогом для nginx - 31 July 2013 17:20

104
Как просмотреть все сертификаты SSL в пакете? - 25 April 2014 08:59

96
Подстановочный сертификат SSL для субдомена второго уровня - 7 April 2013 15:10

85
Добавление каталога к $PATH в CentOS? - 15 January 2010 05:15

74
Как я очищаю кэш SSL Chrome? - 13 May 2015 23:09

score 1 · Accepted Answer · 3 December 2019 в 23:11

Примечание: Начиная с версии Bareos 18.2, TLS включен по умолчанию , но сервер обратно совместим со старыми клиентами.

Попробуйте следующее:

Измените адрес клиента на сервере (в bareos-dir.d / client / *. Conf ) с имени на IP. Если это работает, то это означает, что ваш DNS-поиск не работает и BareOS не может проверить, что он обращается к нужному компьютеру.
Если у вас несколько интерфейсов, добавьте следующее в client /self.conf (или там, где конфигурация вашего клиента хранится в файловом демоне):

FD Address = IP-Address
FD Source Address = IP-Address

Это определяет исходящий интерфейс для использования и уменьшает ошибки маршрутизации (полезно на облачных хостах). См. здесь для получения дополнительной информации об этом.

Если вы используете необычную или нестандартную ОС, вам может потребоваться указать расположение сертификата TLS или TLS CA Certificate Dir тоже. TLS Verify Peer также поможет определить, не проходит ли проверка однорангового узла.

Отладка - для проверки SSL-соединения

С каждой стороны (резервный сервер к клиенту и клиент к резервному серверу), попробуйте:

openssl s_client -connect [client-fqdn]:9102 -state -nbio

и

openssl s_client -connect [client-ip]:9102 -state -nbio

Бонусный ответ

Каждое соединение теперь поддерживает TLS, поэтому сбой аутентификации TLS не обязательно между Директором (сервером) и FileDaemon (клиентом). Однако о любом сбое TLS сообщается (неправильно) как таковое. Таким образом, ошибка типа:

Fatal error: Connect failure: ERR=error:140943FC:SSL routines:ssl3_read_bytes:sslv3 alert bad record mac
Error: TLS shutdown failure.: ERR=error:140E0197:SSL routines:SSL_shutdown:shutdown while in init
Fatal error: TLS negotiation failed

... может быть, например, ошибкой аутентификации TLS между директором и StorageDaemon.

Проверьте каждую ссылку!