Symptoms

Setelah update Protection agent untuk Linux, backup gagal dengan eror :
Failed to connect to the Agent Core service on this machine.
Contoh error stack pada activity details:
Error code: 47316996
Fields: {"$module":"service_process_lxa64_26077","Domain":"AGENT_CORE","HttpStatus":500,"Reason":"INTERNAL_ERROR","code":3}
Message: {"domain":"AGENT_CORE","code":"INTERNAL_ERROR","debug":{"msg":"Post https://eu-cloud.acronis.com/bc/idp/token: x509: certificate signed by unknown authority"}}
------------------------
Error code: 38207511
Fields: {"$module":"service_process_lxa64_26077","status":500}
Message: {"domain":"AGENT_CORE","code":"INTERNAL_ERROR","debug":{"msg":"Post https://eu-cloud.acronis.com/bc/idp/token: x509: certificate signed by unknown authority"}}
------------------------

Penyebab

Pesan tersebut berarti bahwa salah satu dari dua kemungkinan sedang terjadi:

1. Pesan tersebut berarti bahwa agen tidak dapat menemukan root certificate untuk DC Anda (https://eu-cloud.acronis.com dalam contoh ini) di toko sertifikat tepercaya pada perangkat.

Anda dapat melihat chain of trust di https://www.sslshopper.com/ssl-checker.html?hostname=https://eu-cloud.acronis.com

Root Certificate adalah Go Daddy Root Certificate Authority - G2.

2. Terjadi pemeriksaan atau dekripsi SSL, TLS di firewall/gateway/UTM jaringan tempat agen berada.

Ini membuat sertifikat root palsu untuk tujuan melakukan inspeksi, atau merusak jabat tangan TLS.

Solusi

Skenario 1

Lokasi dan procedure certificate serta command untuk memperbarui atau mengaktifkan sertifikat untuk penggunaan di seluruh sistem dapat bervariasi tergantung pada jenis distribusi, dan versinya.

Panduan yang disediakan adalah untuk distribusi turunan RedHat (seperti CentOS), dan untuk Ubuntu (sebagai contoh representatif dari distribusi berbasis Debian)

Pada distribusi turunan RedHat seperti CentOS

Aktifkan Shared System CA Certificates

Gunakan perintah berikut untuk memeriksa apakah Anda telah mengaktifkan fitur Sertifikat CA Sistem Bersama:

# update-ca-trust check

Jika tidak diaktifkan, dan Anda ingin mengaktifkan pengganti yang kompatibel sehingga aplikasi lama dapat menggunakan penyimpanan CA Sistem Bersama yang baru, jalankan perintah berikut:

# update-ca-trust enable

Verifikasi keberadaan sertifikat pada mesin dengan menjalankan perintah berikut:

# cat /etc/pki/tls/certs/ca-bundle.crt | grep 'Go Daddy Root Certificate Authority'

Jika output tidak mengandung Go Daddy Root Certificate Authority - G2 itu berarti sertifikat tidak diinstal.

Dalam hal ini, ikuti salah satu langkah berikut:

Umumnya, sertifikat Go Daddy Root Certificate Authority adalah bagian dari update system certificate bundles. Jadi update bundle adalah rekomendasi first action. Jalankan command :
# yum instal ca-sertifikat
Jika file paket terhapus atau rusak pada disk karena masalah environment, paket ca-certificates dapat diinstal ulang. Jalankan command berikut:
# yum reinstall ca-certificates
Untuk memverifikasi bahwa sertifikat ada, jalankan kembali perintah:
# cat /etc/pki/tls/certs/ca-bundle.crt | grep 'Go Daddy Root Certificate Authority'
Anda dapat mengunduh Bundel Sertifikat GoDaddy di tautan di bawah ini
https://ssl-ccp.godaddy.com/repository/gd_bundle-g2-g1.crt
Untuk menginstalnya, salin file gd_bundle-g2-g1.crt ke /etc/pki/ca-trust/source/anchors/ dan jalankan perintah berikut:
# update-ca-trust
Akibatnya, sertifikat Go Daddy Root Certificate Authority - G2 sekarang harus tersedia untuk digunakan di toko sertifikat tepercaya mesin.
Untuk memverifikasinya, jalankan kembali perintah:
# cat /etc/pki/tls/certs/ca-bundle.crt | grep 'Go Daddy Root Certificate Authority

Di Debian dan Ubuntu dan turunannya

Pada Debian dan distribusi berbasis Debian seperti Ubuntu LTS 18.04.6 (dan versi yang lebih baru seperti 20.04LTS dan 22.04LTS, serta versi non-LTS) sertifikat Go Daddy yang diperlukan sudah disediakan oleh distribusi melalui ca-certificate packages.

Selama Anda terus memperbarui sistem, Anda tidak perlu menginstal paket secara terpisah.

Pada sistem Ubunutu 18.04 LTS yang sepenuhnya diperbarui (diinstal sebagai 18.04.3, kemudian diperbarui melalui apt update & apt upgrade ke 18.4.6 ), 2 sertifikat GoDaddy ini dapat ditemukan:

/etc/ssl/certs/Go_Daddy_Class_2_CA.pem
/etc/ssl/certs/Go_Daddy_Root_Certificate_Authority_-_G2.pem

Jika file paket terhapus atau rusak pada disk karena masalah lingkungan, paket sertifikat-ca dapat diinstal ulang yang akan memperbaikinya.

Instal ulang ca-certificate

Jalankan perintah berikut:

# apt install --reinstall ca-certificates

Contoh output dari perintah:

root@ubu18043test-cert:~# apt install ca-certificates

Reading package lists... Done

Building dependency tree

Reading state information... Done

ca-certificates is already the newest version (20210119~18.04.2).

0 upgraded, 0 newly installed, 0 to remove and 8 not upgraded.

Jika Anda TIDAK BISA memperbarui paket Debian/Ubuntu Anda dari repositori, sertifikat dapat diinstal secara manual.

Pemasangan manual ca-certificate

Sertifikat yang dibutuhkan BUKAN Bundel Sertifikat GoDaddy - G2 gd_bundle-g2.crt atau bundel lainnya yang terdaftar di situs GoDaddy, melainkan file "GoDaddy Class 2 Certification Authority Root Certificate - G2 gdroot-g2.crt" yang dapat diunduh https://certs.godaddy.com/repository/gdroot-g2.crt

Jika Anda mencoba memasang bundel sertifikat, Anda mungkin akan mendapati eror "it does not contain exactly one certificate" .

Ini karena bundel sertifikat ini sebenarnya berisi beberapa sertifikat, beberapa di antaranya tidak dimaksudkan untuk validasi domain (yang merupakan jenis penggunaan yang kita perlukan) tetapi untuk penandatanganan kode atau aplikasi, dan untuk tujuan lain.

Anda harus menyalin file gdroot-g2.crt ke direktori /usr/local/share/ca-certificates/ lalu jalankan perintah:

# update-ca-certificates

Periksa documentation Ubuntu untuk lebih jelasnya

Skenario 2

SSL/TLS Troubleshooting diperlukan:

ikuti langkah-langkah dalam article ini untuk memecahkan masalah koneksi yang disebabkan oleh firewall dan perangkat lunak DPI

ATAU

Jalankan Alat Verifikasi Koneksi yang ada di artikel

Jika tidak ada di atas yang membantu, lakukan hal berikut:

Salin sertifikat dari “/var/lib/Acronis/CurlCaCertificates/cert_bundle.pem” ke “/etc/pki/tls/certs/ca-bundle.crt” dengan menjalankan perintah:

cat /var/lib/Acronis/CurlCaCertificates/cert_bundle.pem >> /etc/pki/tls/certs/ca-bundle.crt

[Acronis] Acronis Cyber Protect Cloud: Backup gagal setelah update agent pada Linux dengan error "certificate signed by unknown authority" Mencetak

Symptoms

Penyebab

Pesan tersebut berarti bahwa salah satu dari dua kemungkinan sedang terjadi:

1. Pesan tersebut berarti bahwa agen tidak dapat menemukan root certificate untuk DC Anda (https://eu-cloud.acronis.com dalam contoh ini) di toko sertifikat tepercaya pada perangkat.

Anda dapat melihat chain of trust di https://www.sslshopper.com/ssl-checker.html?hostname=https://eu-cloud.acronis.com

Root Certificate adalah Go Daddy Root Certificate Authority - G2.

2. Terjadi pemeriksaan atau dekripsi SSL, TLS di firewall/gateway/UTM jaringan tempat agen berada.

Ini membuat sertifikat root palsu untuk tujuan melakukan inspeksi, atau merusak jabat tangan TLS.

Solusi

Skenario 1

Lokasi dan procedure certificate serta command untuk memperbarui atau mengaktifkan sertifikat untuk penggunaan di seluruh sistem dapat bervariasi tergantung pada jenis distribusi, dan versinya.

Panduan yang disediakan adalah untuk distribusi turunan RedHat (seperti CentOS), dan untuk Ubuntu (sebagai contoh representatif dari distribusi berbasis Debian)

Pada distribusi turunan RedHat seperti CentOS

Aktifkan Shared System CA Certificates

Gunakan perintah berikut untuk memeriksa apakah Anda telah mengaktifkan fitur Sertifikat CA Sistem Bersama:

# update-ca-trust check

Jika tidak diaktifkan, dan Anda ingin mengaktifkan pengganti yang kompatibel sehingga aplikasi lama dapat menggunakan penyimpanan CA Sistem Bersama yang baru, jalankan perintah berikut:

# update-ca-trust enable

Verifikasi keberadaan sertifikat pada mesin dengan menjalankan perintah berikut:

# cat /etc/pki/tls/certs/ca-bundle.crt | grep 'Go Daddy Root Certificate Authority'

Jika output tidak mengandung Go Daddy Root Certificate Authority - G2 itu berarti sertifikat tidak diinstal.

Dalam hal ini, ikuti salah satu langkah berikut:

Umumnya, sertifikat Go Daddy Root Certificate Authority adalah bagian dari update system certificate bundles. Jadi update bundle adalah rekomendasi first action. Jalankan command :

# yum instal ca-sertifikat

Jika file paket terhapus atau rusak pada disk karena masalah environment, paket ca-certificates dapat diinstal ulang. Jalankan command berikut:

# yum reinstall ca-certificates

Untuk memverifikasi bahwa sertifikat ada, jalankan kembali perintah:

# cat /etc/pki/tls/certs/ca-bundle.crt | grep 'Go Daddy Root Certificate Authority'

Anda dapat mengunduh Bundel Sertifikat GoDaddy di tautan di bawah ini

https://ssl-ccp.godaddy.com/repository/gd_bundle-g2-g1.crt

Untuk menginstalnya, salin file gd_bundle-g2-g1.crt ke /etc/pki/ca-trust/source/anchors/ dan jalankan perintah berikut:

# update-ca-trust

Akibatnya, sertifikat Go Daddy Root Certificate Authority - G2 sekarang harus tersedia untuk digunakan di toko sertifikat tepercaya mesin.

Untuk memverifikasinya, jalankan kembali perintah:

# cat /etc/pki/tls/certs/ca-bundle.crt | grep 'Go Daddy Root Certificate Authority

Di Debian dan Ubuntu dan turunannya

Pada Debian dan distribusi berbasis Debian seperti Ubuntu LTS 18.04.6 (dan versi yang lebih baru seperti 20.04LTS dan 22.04LTS, serta versi non-LTS) sertifikat Go Daddy yang diperlukan sudah disediakan oleh distribusi melalui ca-certificate packages.

Selama Anda terus memperbarui sistem, Anda tidak perlu menginstal paket secara terpisah.

Pada sistem Ubunutu 18.04 LTS yang sepenuhnya diperbarui (diinstal sebagai 18.04.3, kemudian diperbarui melalui apt update & apt upgrade ke 18.4.6 ), 2 sertifikat GoDaddy ini dapat ditemukan:

/etc/ssl/certs/Go_Daddy_Class_2_CA.pem

/etc/ssl/certs/Go_Daddy_Root_Certificate_Authority_-_G2.pem

Jika file paket terhapus atau rusak pada disk karena masalah lingkungan, paket sertifikat-ca dapat diinstal ulang yang akan memperbaikinya.

Instal ulang ca-certificate

Jalankan perintah berikut:

# apt install --reinstall ca-certificates

Contoh output dari perintah:

root@ubu18043test-cert:~# apt install ca-certificates

Reading package lists... Done

Building dependency tree

Reading state information... Done

ca-certificates is already the newest version (20210119~18.04.2).

0 upgraded, 0 newly installed, 0 to remove and 8 not upgraded.

Jika Anda TIDAK BISA memperbarui paket Debian/Ubuntu Anda dari repositori, sertifikat dapat diinstal secara manual.

Pemasangan manual ca-certificate

Sertifikat yang dibutuhkan BUKAN Bundel Sertifikat GoDaddy - G2 gd_bundle-g2.crt atau bundel lainnya yang terdaftar di situs GoDaddy, melainkan file "GoDaddy Class 2 Certification Authority Root Certificate - G2 gdroot-g2.crt" yang dapat diunduh https://certs.godaddy.com/repository/gdroot-g2.crt

Jika Anda mencoba memasang bundel sertifikat, Anda mungkin akan mendapati eror "it does not contain exactly one certificate" .

Ini karena bundel sertifikat ini sebenarnya berisi beberapa sertifikat, beberapa di antaranya tidak dimaksudkan untuk validasi domain (yang merupakan jenis penggunaan yang kita perlukan) tetapi untuk penandatanganan kode atau aplikasi, dan untuk tujuan lain.

Anda harus menyalin file gdroot-g2.crt ke direktori /usr/local/share/ca-certificates/ lalu jalankan perintah:

# update-ca-certificates

Periksa documentation Ubuntu untuk lebih jelasnya

Skenario 2

SSL/TLS Troubleshooting diperlukan:

ikuti langkah-langkah dalam article ini untuk memecahkan masalah koneksi yang disebabkan oleh firewall dan perangkat lunak DPI

ATAU

Jalankan Alat Verifikasi Koneksi yang ada di artikel

Jika tidak ada di atas yang membantu, lakukan hal berikut:

Salin sertifikat dari “/var/lib/Acronis/CurlCaCertificates/cert_bundle.pem” ke “/etc/pki/tls/certs/ca-bundle.crt” dengan menjalankan perintah:

cat /var/lib/Acronis/CurlCaCertificates/cert_bundle.pem >> /etc/pki/tls/certs/ca-bundle.crt

Artikel Terkait