Red Hat Training

A Red Hat training course is available for Red Hat Satellite

7.5. Verbindungsfehler

Ein häufiges Verbindungsproblem, angezeigt durch den SSL_CONNECT-Fehler, ist die Folge davon, dass ein Satellite auf einem Rechner installiert wurde, dessen Systemzeit nicht richtig eingestellt wurde. Während des Satellite-Installationsprozesses werden SSL-Zertifikate mit ungenauen Zeitangaben erstellt. Wenn die Zeit des Satellites dann korrigiert wird, kann es sein, dass das Startdatum und die festgelegte Zeit des Zertifikats in der Zukunft liegen und es daher ungültig erscheinen lassen.
Um den Fehler zu beheben, überprüfen Sie daher die Datum/Zeit-Einstellungen auf Clients und dem Satellite mit folgendem Befehl: 
date
Die Resultate sollten für alle Rechner nahezu identisch sein und innerhalb der "notBefore"- und "notAfter"-Gültigkeitsfenster des Zertifikats liegen. Überprüfen Sie die Zertifikatsdaten und -zeiten des Clients mit folgendem Befehl: 
openssl x509 -dates -noout -in /usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT
Überprüfen Sie die Daten und Zeiten des Satellite Server-Zertifikats mit folgendem Befehl: 
openssl x509 -dates -noout -in /etc/httpd/conf/ssl.crt/server.crt
Standardmäßig ist das Server-Zertifikat für ein Jahr gültig, während Client-Zertifikate für 10 Jahre gültig sind. Wenn die Zertifikate inkorrekt sind, können Sie entweder bis zur gültigen Startzeit warten oder ein neues Zertifikat erstellen. Vorzugsweise sollten alle Systemzeiten auf GMT eingestellt sein.
Folgende Maßnahmen können dazu verwendet werden, allgemeine Verbindungsfehler zu finden und zu beheben:
  • Versuchen Sie in einer Befehlszeile eine Verbindung mit der Datenbank des RHN Satellite herzustellen, indem Sie den korrekten Verbindungsstring wie in /etc/rhn/rhn.conf verwenden: 
    sqlplus username/password@sid
  • Stellen Sie sicher, dass der RHN Satellite das Network Time Protocol (NTP) verwendet und auf die richtige Zeitzone eingestellt ist. Dies trifft auch auf alle Client-Systeme und auf den separaten Datenbankrechner bei RHN Satellite mit Stand-Alone Database zu.
  • Bestätigen Sie die Installation des korrekten Pakets: 
    7 rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm
    auf dem RHN Satellite, und dass die zugehörigen rhn-org-trusted-ssl-cert-*.noarch.rpm-Pakete oder das öffentliche SSL-(Client)-Zertifikat der CA auf allen Client-Systemen installiert ist.
  • Prüfen Sie nach, ob die Client-Systeme zur Verwendung des richtigen Zertifikats konfiguriert sind.
  • Auch wenn Sie einen oder mehrere RHN Proxy Server verwenden, überprüfen Sie jedes der SSL-Zertifikate des/der Proxy/s. Der Proxy sollte beides, sein eigenes Server SSL-Schlüsselpaar sowie das öffentliche SSL-(Client)-Zertifikat der CA installiert haben. Werfen Sie einen Blick auf das Kapitel "SSL-Zertifikate" des RHN Client-Konfigurationshandbuch für genauere Instruktionen.
  • Vergewissern Sie sich, dass Client-Systeme keine eigenen Firewalls verwenden und somit erforderliche Ports blockieren, wie in Abschnitt 2.4, »Zusätzliche Anforderungen« aufgezeigt.