Ungültiges Zertifikat bei selbst gehosteten Git Repo in der Modulverwaltung

Hallo,

ich möchte in der Modulverwaltung ein im lokalen Netz gehostestes Git-Repository (HTTPS) hinzufügen und erhalte den Fehler Error: the SSL certificate is invalid (Code: -32603)

Das Zertifikat des Git-Servers wurde mit einer eigenen CA erzeugt. Die CA wurde bereits auf dem Symcon-System (Ubuntu 18.04) hinterlegt und mit update-ca-certificates aktiviert.

Ein Test mit openssl s_client -connect gitea.home.lan:https auf dem Symcon-System zeigt, dass die Zertifikate in der Chain alle vorhanden sind. Meldung: Verification: OK.

Hat jemand einen Tipp warum Symcon das Zertifikat trotzdem nicht akzeptiert? Gibt es für Symcon einen eigenen Zertifikatsspeicher?

Gruß,
David

Ja, wir haben eine eigene cacert.pem Datei welche im /usr/share/symcon liegt. Am einfachsten ist, wenn du das Repo über git clone direkt in den /var/lib/symcon/modules Ordner klonst und dann IP-Symcon neu startest.

paresy

Danke für Deine Antwort. Das klappt wie vorgeschlagen aber so richtig zufrieden bin ich damit nicht. Die Aktualisierung des Moduls ist über die Modulverwaltung damit nicht mehr möglich und erfordert dann scheinbar immer den Umweg übers CLI auf dem Symcon-System.

Wäre es denkbar in zukünftigen Symcon-Versionen den betriebssystemeigenen Zertifikatsspeicher zu berücksichtigen? Oder wäre es möglich, dass man selbstsignierte Zertifikate in Symcon importieren kann? Evtl. über das Verzeichnis /var/lib/symcon/cert/ wie es bereits für den integrierten Webserver funktioniert?

Das wäre sogar die perfekte Lösung. Aktuell unterstützt OpenSSL jedoch nicht, dass man gleichzeitig eine cacert.pem Datei und einen Suchpfad angibt. Es ist leider entweder oder.

paresy

Demnach ist in absehbarer Zeit keine Lösung bzgl. der selbstsignierten Zertifikate in Sicht, schade :frowning:

Ich habe mir angewöhnt möglichst immer bei meinen Webservern eine Umleitung von HTTP zu HTTPS zu konfigurieren. Beim Gitea-Server gibt es aber nun vorübergehend eine Ausnahme damit zumindest im LAN das gewünschte Repo per HTTP erreichbar ist.

Du kannst Dein Zertifikat selber hinzufügen. Siehe IP-Symcon Community Forum

Das muss aber leider nach jedem IPS-Update wiederholt werden

Kannst Du evtl. bitte den entsprechenden Post zitieren? Mir fehlen die Rechte den verlinkten Thread aufzurufen.

Soviel steht da nicht drin. Einfach das eigene CA-Zertifikat ans Ende von /usr/lib/symcon/cacert.pem anhängen, den Dienst neu starten und fertig. Wie gesagt: das wird beim Update wieder vom Symcon Paket überschrieben.

So genau habe ich mir bislang die cacert.pem noch gar nicht angesehen :banghead:

Du hast Recht, dort lässt sich sich meine CA einfügen und schon klappts auch mit der HTTPS-Quelle bei den Modulen. Denke beim Update-Vorgang kann ich das Zertifikat leicht mit Ansible immer wieder hinzufügen.

Danke euch beiden! :loveips: