Quantcast
Channel: Monitoring-Portal Feed
Viewing all articles
Browse latest Browse all 1338

Icinga Multi Status über Icinga2 API SSL-Fehler

November 21, 2015, 11:26 am
$
0
0
Hallo zusammen,

ich versuche gerade das Chrome-Plugin "Icinga Multi Status" von @bashgeek zum Laufen zu bekommen. Ich versuche mit mit Benutzer und Passwort aus /etc/icinga2/conf.d/api-users.conf anzumelden. Leider bekomme ich im icinga.log immer die folgenden Fehlermeldungen, wenn ich mich anzumelden versuche:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

[2015-11-21 20:00:01 +0100] information/ApiListener: New client connection (no client certificate)
[2015-11-21 20:00:01 +0100] warning/TlsStream: TLS stream was disconnected.
[2015-11-21 20:00:01 +0100] warning/ApiListener: No data received on new API connection.
Context:
    	(0) Handling new API client connection

[2015-11-21 20:00:01 +0100] warning/TlsStream: TLS stream was disconnected.
[2015-11-21 20:00:01 +0100] critical/ApiListener: Client TLS handshake failed
Context:
    	(0) Handling new API client connection

[2015-11-21 20:00:01 +0100] information/ApiListener: New client connection (no client certificate)
[2015-11-21 20:00:01 +0100] warning/TlsStream: TLS stream was disconnected.
[2015-11-21 20:00:01 +0100] warning/ApiListener: No data received on new API connection.
Context:
    	(0) Handling new API client connection


Icinga2 ist wie folgt installiert:
Master: sv005
Slaves: vm2 und sv004

Auf allen Server ist die Paket-Version installiert:

Quellcode

 
1
2
3
4
5

Paket: icinga2
Neu: ja
Zustand: Installiert
Automatisch installiert: nein
Version: 2.4.0-1~debmon70+1


Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

Object 'api' of type 'ApiListener':
  % declared in '/etc/icinga2/features-enabled/api.conf', lines 5:1-5:24
  * __name = "api"
  * accept_commands = false
  * accept_config = false
  * bind_host = ""
  * bind_port = "5665"
  * ca_path = "/etc/icinga2/pki/ca.crt"
	% = modified in '/etc/icinga2/features-enabled/api.conf', lines 8:3-8:46
  * cert_path = "/etc/icinga2/pki/sv005.crt"
	% = modified in '/etc/icinga2/features-enabled/api.conf', lines 6:3-6:62
  * crl_path = ""
  * key_path = "/etc/icinga2/pki/sv005.key"
	% = modified in '/etc/icinga2/features-enabled/api.conf', lines 7:3-7:61
  * name = "api"
  * package = "_etc"
  * templates = [ "api" ]
	% = modified in '/etc/icinga2/features-enabled/api.conf', lines 5:1-5:24
  * ticket_salt = "XXXXXXXXXXXXXXXXXXXXXXXX"
	% = modified in '/etc/icinga2/features-enabled/api.conf', lines 10:3-10:26
  * type = "ApiListener"
  * zone = ""


Die verteilte Installation läuft bereits seit ein paar Monaten ohne Probleme.

Wenn ich das Chrome-Plugin von @bashgeek mit der API verbinden will, bekomme ich in Chrome nur "unkown error" und im icinga.log die o.g. Fehlermeldungen. Ein erster Hinweis von @bashgeek war:

Zitat

Self-signed cert? You have to add it to Chrome as trusted otherwise the connection will be blocked as unsafe
Das Server-Zertifikat für sv005 habe ich in Chrome auch importieren können. das ca-Zertifikat von Icinga2 leider nicht. Ich habe versucht die Datei /etc/icinga2/pki/ca.crt zu importieren. Beim Import kommt immer die Fehlermeldung:

Quellcode

 
1
2
3
4
5
6
7

---------------------------
Zertifikatimport-Assistent
---------------------------
Der Dateityp ist nicht erkennbar. Wählen Sie eine andere Datei aus.
---------------------------
OK   
---------------------------



Dadurch erkennt Chrome das Zertifikat nicht an, weil er den Zertifikatsaussteller nicht verifizieren kann. Wenn ich die URL der API im Chrome direkt aufrufe, bekomme ich die Fehlermeldung:

Quellcode

 
1
2

SSL-Verbindungsfehler
ERR_SSL_SERVER_CERT_BAD_FORMAT


Hat jemand noch einen Tipp für mich, wie ich das CA-Zertifikat exportiert bekomme, so dass Chrome es erkennt? Ich würde das Plugin so gerne nutzen.

Danke
Ulf
Search
Viewing all articles
Browse latest Browse all 1338
Search