Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Wegen Sicherheitszertifikat ausgesperrt

Alles zum Thema vSphere 6, ESXi 6.0 und vCenter Server.

Moderatoren: irix, Dayworker

Member
Beiträge: 113
Registriert: 12.06.2007, 14:04

Wegen Sicherheitszertifikat ausgesperrt

Beitragvon pcpanik » 29.08.2017, 21:49

Hallo,

ich habe da ein mittelschweres Problem, ich betreue an und wann eine ESX 6.0 U3 Umgebung. Ich komme aber mit keinem Browser mehr dran. Weder Firefox noch IE oder Edge.

Ich bekomme die Warnung das Sicherheitszertifikat sei ungültig. Komme mit Firefox nicht weiter, obwohl ich die Seite schon vor Monaten als Ausnahme bestätigt habe. Gibt keinen Button "Ich kenne das Risiko" zum erneuten Bestätigen.
Unter IE oder Edge kann ich "trotzdem laden" und bleibe dann auch stecken mit "Der Inhalt wurde blockiert, da er nicht mit einem gültigen Sicherheitszertifikat signiert wurde"

Super blöd. Ich kenne mich mit Zertifikaten an dieser Stelle nicht gut aus, wir befinden uns innerhalb eines LANs mit zwei Subnetzen. Das ist alles.

Was kann ich nun tun? Uhrzeit und Datum stimmen, wird alles per NTP verteilt. Server wie Clientseitig.

Profi
Beiträge: 875
Registriert: 18.03.2005, 14:05
Wohnort: Ludwigshafen

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon Martin » 29.08.2017, 22:30

Hast Du noch irgendeine "Internet Security" Software aktiv, die sich in https-Verbindungen hineinpfuscht?

Experte
Beiträge: 1006
Registriert: 30.10.2004, 12:41

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon mbreidenbach » 29.08.2017, 22:32

Wenn Chrome ein Zertifikat nicht mag und auch keinen 'ich weiß was ich tu' Knopf anbietet kann man da auf die Seite klicken und 'badidea' eintippen dann gehts weiter... (kein Scherz)

Mal Chrome probieren ?

EDIT: das ist der Host aus dem andern Thread wo gar nix mehr geht ? Dann siehts übel aus und riecht nach Host Neustart

King of the Hill
Beiträge: 12942
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon irix » 29.08.2017, 23:20

Mal bitte die KOMPLETTE Meldung da vom FF oder Chrome (IE taugt da nix). Sollte es daran liegen das es MD5/SHA1 Algorithmen sind so ist die Loesung einen aelteren FF Portable zu verwenden und wenn man Zugriff hat dann die Zertifikate zu tauschen (Managed hier keiner 10 Jahre alte USVs, Switche usw.?).


Gruss
Joerg

Member
Beiträge: 113
Registriert: 12.06.2007, 14:04

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon pcpanik » 30.08.2017, 00:44

Danke für eure Beiträge:


Der Inhaber von vsphere.intern hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.

vsphere.intern verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER


Keinerlei weitere Sicherheitssoftware außer dem MS Defender.

Der Host wurde eu gestartet, das war nicht das Thema und der vsphere Server läuft auf einem 3. System.

Also Chrome blockt genauso ... komisch, vor 14 Tagen gab es zwar auch gemecker, aber ich bin immer weiter gekommen.

Die Webseite unter https://vsphere.intern/websso/SAML2/SSO ... XXXX..hier steht ein irrsinnig langer Schlüssel .... XXX ist möglicherweise vorübergehend nicht verfügbar oder wurde dauerhaft an eine neue Webadresse verschoben.

Guru
Beiträge: 3081
Registriert: 27.12.2004, 22:17

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon rprengel » 30.08.2017, 07:22

pcpanik hat geschrieben:Danke für eure Beiträge:


Der Inhaber von vsphere.intern hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.

vsphere.intern verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER


Keinerlei weitere Sicherheitssoftware außer dem MS Defender.

Der Host wurde eu gestartet, das war nicht das Thema und der vsphere Server läuft auf einem 3. System.

Also Chrome blockt genauso ... komisch, vor 14 Tagen gab es zwar auch gemecker, aber ich bin immer weiter gekommen.

Die Webseite unter https://vsphere.intern/websso/SAML2/SSO ... XXXX..hier steht ein irrsinnig langer Schlüssel .... XXX ist möglicherweise vorübergehend nicht verfügbar oder wurde dauerhaft an eine neue Webadresse verschoben.


Ist kein VM Problem.
Mann kann die Blockade abschalten. Dazu findet sich einiges im Netz.

Gruss

King of the Hill
Beiträge: 12942
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon irix » 30.08.2017, 07:38

Da obiges eigentlich eher wie vCenter ausschaut frage ich trotzdem mal nach... aber es wurde "Host neustart" erwaehnt.

1. Kannst du per Browser einen ESXi Host erreichen sprich https://meinesxi:443/ bzw. den HostClient unter https://meinesxi:443/ui/ ?
2. Du hast die Probleme beim Zugriff auf das vCenter? Ist da eine VCSA oder eine Windows vCenter im Einsatz?
3. Kannst du beim Zugriff auf das vCenter noch auf dessen Startseite https://meinvcenter:443 zugreifen oder kommen die Fehlermeldungen erst beim Zugriff auf den WebClient
4. Wie alt ist das vCenter bzw. welche Version war es bei der Erstinstallation?

Die Frage ob du mal mittels openssl gucken kannst ob du das Zertifkat da vollstaendig geliefert bekommst oder obs schon daran liegt das der Webserver du nur die Haelfte liefert.

Was den SEC_ERROR_UNKNOWN_ISSUER angeht....typische und erstmal nicht schlimme Meldung das der Aussteller aus Sicht des Browsers ein unbekannter ist. Im Falle von der VCSA kann man das beheben weil Rechts unten auf der Startseite kann man sich die Zertifikatskette herunterladen und importieren im Browser.

Gruss
Joerg

Member
Beiträge: 113
Registriert: 12.06.2007, 14:04

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon pcpanik » 30.08.2017, 11:51

Hallo und Danke sehr für die Antworten.

Ja, einer der Hosts wurde neu gestartet. Aber die vCenter Appliance liegt auf einem anderen.
Das vCenter habe ich ebenfalls neu gestartet.
Den Webclient der Hosts erreiche ich, es ist nur das vCenter, auf das ich nicht mehr drauf komme.

Die Startseite der Appliance mit den Links -installiert als 6.0 U2, zuletzt mit 6.0 U3 aktualisiert - erreiche ich.
Klicke ich auf den Link Bei vSphere Web Client anmelden geht es nicht weiter.

Ich habe keine Möglichkeit Ausnahmen zu erstellen! Das habe ich ja alles bereits getan.

Ich habe die Appliance auch mal neu gestartet, das hilft auch nicht.
Habe es mal spaßeshalber von einem iMac mit Safari probiert, da erhalte ich dann den Fehler: Safari kann die Seite https://vcenter.intern ..... nicht finden.

Jetzt wird es seltsam. Hm, ich sollte wohl mal den DNS Server überprüfen ....

King of the Hill
Beiträge: 12942
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon irix » 30.08.2017, 13:10

Also reden wir hier einzig und allein vom vSphere WebClient. Das ist eine Webapplication welche auf dem vCenter Server (Windows/VCSA) mitlaeuft oder in seltenen Design (Un)faellen auch separat laeuft. Da koennen natuerlich "Host" Neustarts nunmal garnicht helfen.

Da du die Einstiegsseite angucken kannst sollten auch Zertifikatsprobleme ausgeraeumt sein und das was du siehst sind alt die Default Warnung fuer unbekannte Zertifikate/Aussteller. Das laesst sich beheben mit dem Klick da unten rechts.

So.... https://vcsa:5480 zeigt unter Status was an wenn man sich einloggt? Wenn du per SSH auf die VCSA gehst dann ist unter /storage/log/vmware/vsphere-client und /sso interessant.

Hinter der Einstiegs URL https://vcsa/<> verbergen sich ala Reverseproxy andere Webapplikation bzw. bei Java/Tomcat Geschichten durchaus ueblich.

Die haeufigste Fehlerquelle welche ich antreffe..... die Platte ist vollgelaufen in der VCSA und dann kommen die Anwendungen ins stotteren. Also mal ein "df -h" machen nach dem anmelden und gucken.

Gruss
Joerg

Member
Beiträge: 113
Registriert: 12.06.2007, 14:04

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon pcpanik » 30.08.2017, 16:49

Hallo Joerg, vielen Dank für Deine Hilfe und super Ausführungen!

Es war dann, wie vermutet, tatsächlich ein Auflösungsproblem.

Der Zertifikatsfehler wird natürlich weiter angezeigt, aber ich komme wieder auf die Flash Applikation zum anmelden.

Safari hat den richtigen Hinweis gegeben, indem es die korrekte Meldung "Server nicht gefunden" ausgegeben hat. Einmal den DNS Cache geleert und es geht wieder.

King of the Hill
Beiträge: 12942
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Wegen Sicherheitszertifikat ausgesperrt

Beitragvon irix » 30.08.2017, 16:59

Wenn dein Browser mal wieder sagt Server nicht gefunden dann probier doch einfach mal den Zugriff ueber die IP mittels https://dieIP/ anstelle des namens. Ansonsten hilft natuerlich immer auch mal ein nslookup um zu gucken ob der Name denn auch aufgeloest werden kann.

Gruss
Joerg


Zurück zu „vSphere 6.0“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste