[SOLVED] SSL Fehler bei sync job trotz Fingerprint

[grefabu]

Moin,

ich möchte einen entfernten backup server zu einem lokalen synchronisieren.

Ich habe den Remote mit dem Fingerprint des entfernten Servers eingerichtet, trotzdem erhalte ich folende Fehlermeldung:

2024-02-08T12:37:40+01:00: TASK ERROR: error trying to connect: error:0A000086:SSL routines:tls_post_process_server_certificate:certificate verify failed:../ssl/statem/statem_clnt.c:1889:

Verglichen habe ich den Fingerprint mit openssl, der scheint in Ordnung zu sein.

openssl s_client -connect prod-pvb01.mdv.local:8007 -showcerts | openssl x509 -in /dev/stdin -sha256 -noout -fingerprint

Grüße

Gregor

 

[fabian]

die GUI hat einen praktischen "Show Fingerprint" Button der auch ein Kopieren erlaubt..

was passiert denn wenn du von deinem Target mit "proxmox-backup-client" auf deine Quelle verbindest?

 

[grefabu]

Über die Funktion ' Show Fingerprint' habe ich den Fingerprint natürlich erst mal genommen.

Nachdem ich die Fehlermeldung erhalten habe habe ich unter anderen mal vom lokalen Server aus per openssl den Fingerprint geprüft.

Mit

proxmox-backup-manager sync-job create testsync --remote meddvn_prod-pvb01 --remote-store prod-pve --store meddvn_prod-pve --schedule 'Wed 02:30'

Habe ich einen Testjob hinzugefügt, wenn ich den Job starte kommt der Fehler.
Bzw. wenn ich versuche den Job über die GUI zu erstellen kommt der Fehler schon beim Drop Down des Source Datastores.

 

[fabian]

bitte wie gefragt mit "proxmox-backup-client" verbinden (versuchen) und den output hier posten!

 

[grefabu]

Tschuldigung, verlesen.

proxmox-backup-client list --repository prod-pvb01.mdv.local:prod-pve
certificate validation failed - context depth != 0
Error: error trying to connect: error:0A000086:SSL routines:tls_post_process_server_certificate:certificate verify failed:../ssl/statem/statem_clnt.c:1889:

 

[fabian]

hast du ein custom zertifikat hochgeladen (oder durch ACME bezogen) oder ist das self-signed zertifikat aktiv? koenntest du eventuell den output von "openssl s_client -connect prod-pvb01.mdv.local:8007 -showcerts" posten?

 

[grefabu]

Hat ein wenig gedauert, einen Teil habe ich aus Dikretionsgründen geXt:

root@meddv-pbs001:~# openssl s_client -connect prod-pvb01.mdv.local:8007 -showcerts
CONNECTED(00000003)
depth=2 CN = EMT Root CA
verify error:num=19:self-signed certificate in certificate chain
verify return:1
depth=2 CN = EMT Root CA
verify return:1
depth=1 DC = local, DC = emt, CN = EMT Issuing CA
verify return:1
depth=0 ST = DE, L = XXXXXXX, O = XXXXXXX, OU = IT, CN = XXXXXXX, emailAddress = IT.Technik@XXXXXXX.de
verify return:1
---
Certificate chain
 0 s:ST = DE, L = XXXXXXX, O = XXXXXXX, OU = IT, CN = XXXXXXX, emailAddress = IT.Technik@XXXXXXX.de
   i:DC = local, DC = emt, CN = EMT Issuing CA
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Feb  6 10:49:03 2020 GMT; NotAfter: Feb  4 10:49:03 2025 GMT
-----BEGIN CERTIFICATE-----
XXXXXXXX
-----END CERTIFICATE-----
 1 s:DC = local, DC = emt, CN = EMT Issuing CA
   i:CN = EMT Root CA
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Apr 12 07:39:03 2017 GMT; NotAfter: Apr 12 07:49:03 2027 GMT
-----BEGIN CERTIFICATE-----
XXXXXXXX
-----END CERTIFICATE-----
 2 s:CN = EMT Root CA
   i:CN = EMT Root CA
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Apr 11 12:50:56 2017 GMT; NotAfter: Apr 11 13:00:55 2037 GMT
-----BEGIN CERTIFICATE-----
XXXXXXXX
-----END CERTIFICATE-----
---
Server certificate
subject=ST = DE, L = XXXXXXX, O = XXXXXXX, OU = IT, CN = XXXXXXX, emailAddress = IT.Technik@XXXXXXX.de
issuer=DC = local, DC = emt, CN = EMT Issuing CA
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 4927 bytes and written 406 bytes
Verification error: self-signed certificate in certificate chain
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 19 (self-signed certificate in certificate chain)
---
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: 3E93F1C2CEF7272A7F00B8F6CC177090B5644F11A949320CF9505E1ED6B42F30
    Session-ID-ctx:
    Resumption PSK: BB2B2708FEF6DD0B4CE012939B39FE95A559B6B07E16F890AC0FF00EE9BF8E70E87B1C755AA5F0B2856210E3DB7FFCC7
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - 27 91 3f 7f b9 60 34 96-6e a2 e3 02 e5 e3 4f 5b   '.?..`4.n.....O[
    0010 - 4a 1a e8 2f c4 c2 cf 1b-ef ef 18 83 83 3b 5f 60   J../.........;_`
    0020 - d7 1f 76 46 c5 ab 69 27-66 b8 54 39 45 0b a4 3e   ..vF..i'f.T9E..>
    0030 - c4 ce cf 24 08 39 5c 76-06 8a 62 63 bb df 97 36   ...$.9\v..bc...6
    0040 - d5 d5 ae 5f 58 98 b8 11-b8 29 52 5a 34 de d4 63   ..._X....)RZ4..c
    0050 - 96 2c e4 b3 56 d3 bf a2-6e 56 43 95 68 c5 69 83   .,..V...nVC.h.i.
    0060 - 4b e6 82 9f 1c b5 4d 42-c3 72 e5 74 8f 6c e9 01   K.....MB.r.t.l..
    0070 - 47 36 42 59 cf dd b5 d1-d4 8e cf 65 ae 02 91 37   G6BY.......e...7
    0080 - 5b 96 95 28 ca 22 9c 60-15 cd 10 80 1b 8a 3c 24   [..(.".`......<$
    0090 - e7 d3 45 85 bd 77 58 bc-1e b2 03 3a 84 1f b7 6c   ..E..wX....:...l
    00a0 - 7c 00 17 e8 d3 af 58 50-89 7a 67 93 34 71 e1 a4   |.....XP.zg.4q..
    00b0 - 12 50 84 9c 3c 96 fc 10-24 87 35 22 6e b8 1f d2   .P..<...$.5"n...
    00c0 - 69 fa 45 9b e7 65 52 7b-85 1d 38 50 ab e0 9a 32   i.E..eR{..8P...2

    Start Time: 1708001339
    Timeout   : 7200 (sec)
    Verify return code: 19 (self-signed certificate in certificate chain)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: D4CE39D89A7E3516B25E999F50A49FC8DF01B854E7F083D4276045A749708E4D
    Session-ID-ctx:
    Resumption PSK: 258BDF2476462FCE7BC2536E7B675FAFC66A3CF0B99AC6378C322D6BDBF2E09508AF8897E398FA89BDA27B28133BEC8B
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - 27 91 3f 7f b9 60 34 96-6e a2 e3 02 e5 e3 4f 5b   '.?..`4.n.....O[
    0010 - ec 6c 56 47 41 a8 c3 fb-4b 6b 54 28 e9 10 c0 8c   .lVGA...KkT(....
    0020 - df f9 0d 72 9f 65 78 09-90 14 42 fd bd 7d 25 e0   ...r.ex...B..}%.
    0030 - a9 f9 fe c0 dc 76 8b b9-c7 28 40 e1 fd 63 13 4e   .....v...(@..c.N
    0040 - b7 55 82 85 c9 34 f1 35-f3 a2 99 ce a5 51 83 7d   .U...4.5.....Q.}
    0050 - d5 26 89 25 69 8c aa 24-11 bf 4a 1e 28 cc 00 9a   .&.%i..$..J.(...
    0060 - 56 fe 3f ca 27 cb 50 c5-09 48 71 b4 10 5d 89 fe   V.?.'.P..Hq..]..
    0070 - 44 0b b8 0d b1 29 15 97-f4 2f 65 a8 4d 10 0d 8f   D....).../e.M...
    0080 - 8f a4 bc d8 97 ca b4 ae-b2 00 47 44 46 07 8c af   ..........GDF...
    0090 - 00 74 b2 39 df b9 a3 4d-1a d1 3c 43 a4 51 ce cd   .t.9...M..<C.Q..
    00a0 - fe ad 81 4c 78 23 c0 9b-a4 d3 1c 3d 1e 43 5a 80   ...Lx#.....=.CZ.
    00b0 - 79 f7 25 1f 5d ec 65 44-34 9b f9 d1 b1 76 86 96   y.%.].eD4....v..
    00c0 - 6a f4 42 e9 5a 1a c1 55-ad 62 ef ff 68 7b 51 b4   j.B.Z..U.b..h{Q.

    Start Time: 1708001339
    Timeout   : 7200 (sec)
    Verify return code: 19 (self-signed certificate in certificate chain)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK

 

[fabian]

ah - du hast eine zertifikatskette mit einem nicht-trusted root zertifikat konfiguriert - kann sein dass der fingerprint code damit nicht zurecht kommt.. ich bau das mal nach und schau ob ich das problem reproduzieren kann!

 

[grefabu]

die Gegenseite ist geerbt. ;-)
Jetzt wollte ich von der anderen Seite den Backupsync auf unser internes System einrichten.

 

[fabian]

kanns reproduzieren!

https://bugzilla.proxmox.com/show_bug.cgi?id=5248

 

[grefabu]

Mercy!

 

[grefabu]

Moin,

ich habe die für mich naheliegendste Lösung praktiziert: ein neues Zertifikat aus unserer Root CA.
Der Bug mit der Zertifikatskette ist ja evtl. für andere trotzdem relevant.

Grüße

Gregor

 

[fabian]

fix ist auch bereits in arbeit