[Acronis] Acronis Cyber Protect Cloud: Backup gagal setelah update agent pada Linux dengan error "certificate signed by unknown authority"
Mencetak
Diubah pada: Mon, 11 Nov, 2024 pada 9:21 AM
Symptoms
Setelah update Protection agent untuk Linux, backup gagal dengan eror :
Failed to connect to the Agent Core service on this machine.
Contoh error stack pada activity details:
Error code: 47316996
Fields: {"$module":"service_process_lxa64_26077","Domain":"AGENT_CORE","HttpStatus":500,"Reason":"INTERNAL_ERROR","code":3}
Message: {"domain":"AGENT_CORE","code":"INTERNAL_ERROR","debug":{"msg":"Post https://eu-cloud.acronis.com/bc/idp/token: x509: certificate signed by unknown authority"}}
------------------------
Error code: 38207511
Fields: {"$module":"service_process_lxa64_26077","status":500}
Message: {"domain":"AGENT_CORE","code":"INTERNAL_ERROR","debug":{"msg":"Post https://eu-cloud.acronis.com/bc/idp/token: x509: certificate signed by unknown authority"}}
------------------------
Penyebab
Pesan tersebut berarti bahwa salah satu dari dua kemungkinan sedang terjadi:
1. Pesan tersebut berarti bahwa agen tidak dapat menemukan root certificate untuk DC Anda (https://eu-cloud.acronis.com dalam contoh ini) di toko sertifikat tepercaya pada perangkat.
Root Certificate adalah Go Daddy Root Certificate Authority - G2.
2. Terjadi pemeriksaan atau dekripsi SSL, TLS di firewall/gateway/UTM jaringan tempat agen berada.
Ini membuat sertifikat root palsu untuk tujuan melakukan inspeksi, atau merusak jabat tangan TLS.
Solusi
Skenario 1
Lokasi dan procedure certificate serta command untuk memperbarui atau mengaktifkan sertifikat untuk penggunaan di seluruh sistem dapat bervariasi tergantung pada jenis distribusi, dan versinya.
Panduan yang disediakan adalah untuk distribusi turunan RedHat (seperti CentOS), dan untuk Ubuntu (sebagai contoh representatif dari distribusi berbasis Debian)
Pada distribusi turunan RedHat seperti CentOS
Aktifkan Shared System CA Certificates
Gunakan perintah berikut untuk memeriksa apakah Anda telah mengaktifkan fitur Sertifikat CA Sistem Bersama:
# update-ca-trust check
Jika tidak diaktifkan, dan Anda ingin mengaktifkan pengganti yang kompatibel sehingga aplikasi lama dapat menggunakan penyimpanan CA Sistem Bersama yang baru, jalankan perintah berikut:
# update-ca-trust enable
Verifikasi keberadaan sertifikat pada mesin dengan menjalankan perintah berikut:
# cat /etc/pki/tls/certs/ca-bundle.crt | grep 'Go Daddy Root Certificate Authority'
Jika output tidak mengandung Go Daddy Root Certificate Authority - G2 itu berarti sertifikat tidak diinstal.
Dalam hal ini, ikuti salah satu langkah berikut:
Umumnya, sertifikat Go Daddy Root Certificate Authority adalah bagian dari update system certificate bundles. Jadi update bundle adalah rekomendasi first action. Jalankan command :
# yum instal ca-sertifikat
Jika file paket terhapus atau rusak pada disk karena masalah environment, paket ca-certificates dapat diinstal ulang. Jalankan command berikut:
# yum reinstall ca-certificates
Untuk memverifikasi bahwa sertifikat ada, jalankan kembali perintah:
# cat /etc/pki/tls/certs/ca-bundle.crt | grep 'Go Daddy Root Certificate Authority'
Anda dapat mengunduh Bundel Sertifikat GoDaddy di tautan di bawah ini
Untuk menginstalnya, salin file gd_bundle-g2-g1.crt ke /etc/pki/ca-trust/source/anchors/ dan jalankan perintah berikut:
# update-ca-trust
Akibatnya, sertifikat Go Daddy Root Certificate Authority - G2 sekarang harus tersedia untuk digunakan di toko sertifikat tepercaya mesin.
Untuk memverifikasinya, jalankan kembali perintah:
# cat /etc/pki/tls/certs/ca-bundle.crt | grep 'Go Daddy Root Certificate Authority
Di Debian dan Ubuntu dan turunannya
Pada Debian dan distribusi berbasis Debian seperti Ubuntu LTS 18.04.6 (dan versi yang lebih baru seperti 20.04LTS dan 22.04LTS, serta versi non-LTS) sertifikat Go Daddy yang diperlukan sudah disediakan oleh distribusi melalui ca-certificate packages.
Selama Anda terus memperbarui sistem, Anda tidak perlu menginstal paket secara terpisah.
Pada sistem Ubunutu 18.04 LTS yang sepenuhnya diperbarui (diinstal sebagai 18.04.3, kemudian diperbarui melalui apt update & apt upgrade ke 18.4.6 ), 2 sertifikat GoDaddy ini dapat ditemukan:
/etc/ssl/certs/Go_Daddy_Class_2_CA.pem
/etc/ssl/certs/Go_Daddy_Root_Certificate_Authority_-_G2.pem
Jika file paket terhapus atau rusak pada disk karena masalah lingkungan, paket sertifikat-ca dapat diinstal ulang yang akan memperbaikinya.
Instal ulang ca-certificate
Jalankan perintah berikut:
# apt install --reinstall ca-certificates
Contoh output dari perintah:
root@ubu18043test-cert:~# apt install ca-certificates
Reading package lists... Done
Building dependency tree
Reading state information... Done
ca-certificates is already the newest version (20210119~18.04.2).
0 upgraded, 0 newly installed, 0 to remove and 8 not upgraded.
Jika Anda TIDAK BISA memperbarui paket Debian/Ubuntu Anda dari repositori, sertifikat dapat diinstal secara manual.
Pemasangan manual ca-certificate
Sertifikat yang dibutuhkan BUKAN Bundel Sertifikat GoDaddy - G2 gd_bundle-g2.crt atau bundel lainnya yang terdaftar di situs GoDaddy, melainkan file "GoDaddy Class 2 Certification Authority Root Certificate - G2 gdroot-g2.crt" yang dapat diunduh https://certs.godaddy.com/repository/gdroot-g2.crt
Jika Anda mencoba memasang bundel sertifikat, Anda mungkin akan mendapati eror "it does not contain exactly one certificate" .
Ini karena bundel sertifikat ini sebenarnya berisi beberapa sertifikat, beberapa di antaranya tidak dimaksudkan untuk validasi domain (yang merupakan jenis penggunaan yang kita perlukan) tetapi untuk penandatanganan kode atau aplikasi, dan untuk tujuan lain.
Anda harus menyalin file gdroot-g2.crt ke direktori /usr/local/share/ca-certificates/ lalu jalankan perintah:
# update-ca-certificates
Periksa documentation Ubuntu untuk lebih jelasnya
Skenario 2
SSL/TLS Troubleshooting diperlukan:
ikuti langkah-langkah dalam article ini untuk memecahkan masalah koneksi yang disebabkan oleh firewall dan perangkat lunak DPI
ATAU
Jalankan Alat Verifikasi Koneksi yang ada di artikel
Jika tidak ada di atas yang membantu, lakukan hal berikut:
Salin sertifikat dari “/var/lib/Acronis/CurlCaCertificates/cert_bundle.pem” ke “/etc/pki/tls/certs/ca-bundle.crt” dengan menjalankan perintah:
cat /var/lib/Acronis/CurlCaCertificates/cert_bundle.pem >> /etc/pki/tls/certs/ca-bundle.crt
Apakah jawaban ini bermanfaat?
Ya
Tidak
Send feedback Maaf kami tidak bisa membantu. Bantu kami mengembangkan artikel ini dengan umpan balik Anda.