Ad Widget

Collapse

failed to verify certificate: x509: certificate signed by unknown authority

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • VAntar
    Junior Member
    • May 2021
    • 3
    #1

    failed to verify certificate: x509: certificate signed by unknown authority

    Всем привет!

    Помогите разобраться с проблемой.
    Настроил мониторинг SSL сертификатов на сайтах по стандартному шаблону "Template App Website certificate by Zabbix agent 2" - https://git.zabbix.com/projects/ZBX/...at=release/5.0

    Сервер: CentOS 7.9., Zabbix 5.0.8.
    Агент (установлен локально на сервере zabbix): zabbix_agent2 (Zabbix) 5.4.11
    Проверку выполняю с локального агента на сервере Zabbix.

    Проверяю этим шаблоном сайт с SSL сертификатом, выданным Thawte.
    Установил на сервер рутовый и промежуточный сертификаты этого УЦ, т.к. первоначальные проверки валидности с помощью openssl выдавали ошибку о недоверенном УЦ.
    Проверка через openssl стала проходить с валидным статусом сертификата сайта:

    Code:
    # openssl s_client -host www.domainname.ru -port 443
   CONNECTED(00000003)
   depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
   verify return:1
   depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1
   verify return:1
   depth=0 CN = *.domainname.ru
   verify return:1
   ---
   ....   
   ....
   Verify return code: 0 (ok)

    А вот при проверке с сервера zabbix через web.certificate.get выдаёт ошибку проверки валидности сертификата:

    Code:
    # zabbix_get -s 127.0.0.1 -k web.certificate.get[www.domainname.ru]
{"x509":{"version":3,"serial_number":"...."]},"result":{"value":"invalid","message":"failed to verify certificate: x509: certificate signed by unknown authority"},"sha1_fingerprint":"xxxxxxxxxxxxxxxxx","sha256_fingerprint":"zzzzzzzzzzzzzzzzzzzzzzzzzz"}
    Подскажите, в чём может быть проблема?
    Tags: None
    • Alex_UUU
      Senior Member
      • Dec 2018
      • 541
      #2
      Проблема может быть с доступами Когда вручную проверяешь - от себы идешь, когда через заббикс-гет - от ТУЗ заббикса. Ну и порт во втором случае не указываешь.

        Comment

        • VAntar
          Junior Member
          • May 2021
          • 3
          #3
          Добавил порт в запросе get. Результат аналогичный. С сайта ответ на запрос приходит:

          Code:
          # zabbix_get -s 127.0.0.1 -k web.certificate.get[
www.domainname.ru,443]
{"x509":{"version":3,"serial_number":"121111111111111111111111111","signature_algorithm":"SHA25 6-RSA","issuer":"CN=Thawte TLS RSA CA G1,OU=www.digicert.com,O=DigiCert Inc,C=US","not_before":{"value":"Aug 01 00:00:00 2021 GMT","timestamp":1627776000},"not_after":{"value": "Aug 28 23:59:59 2022 GMT","timestamp":1661731199},"subject":"CN=*.domainname.ru","public_key_algorithm":"RSA","alternative_names":["*.domainname.ru","
domainname.ru"]},"result":{"value":"invalid","message":"failed to verify certificate: x509: certificate signed by unknown authority"},"sha1_fingerprint":"xxxxxxxxxxxxxxxxxxxxxx","sha256_fingerprint":"yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy"}
          Может быть, что для агента zabbix своё хранилище с сертификатами, а в общее хранилище сертификатов доступа нет и поэтому агент не может выполнить проверку валидности?

            Comment

            • wins
              Senior Member
              • Sep 2014
              • 307
              #4
              да врядли свое хранилище. У вас домен секретный? доступен из паблика?

                Comment

                • VAntar
                  Junior Member
                  • May 2021
                  • 3
                  #5
                  Домен не секретный. Из паблика доступен.

                    Comment

                    • wins
                      Senior Member
                      • Sep 2014
                      • 307
                      #6
                      Ну показывайте домен тогда, что уж там)

                        Comment

                        Previous template Next
                        Working...