UbuntuでCockpit TLSエラーが発生し接続ができない

前へ 次へ
このQ&Aのポイント
  • UbuntuでCockpitを使用している際にTLSエラーが発生し、接続ができない問題が発生しています。
  • 以前は正常に接続できていたが、最近はTLSエラーが発生し、接続ができない状況です。
  • パッケージのアンインストールと再インストールを行ったが、TLSエラーが解消されない問題があります。
回答を見る
  • ベストアンサー

Ubuntu で Cockpit TLSエラー

お世話になります。 Ubuntu で Cockpit TLSエラーで接続できません。 status は cockpit-tls: gnutls_handshake failed: A TLS fatal alert has been received. 以前は接続できました、ポートは初期値の 9090、local 接続です。 パッケージをアンインストールして、インストールし直したのですが、 /etc/cockpit/ws-certs.d/0-self-signed.cert は削除されず、残っていました。上書きもできていないのです。 どうかご存じの方。ご教授くださいませ、よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.2

>>証明書ファイルとKeyファイルは1対だと思うのですが、KEYファイルは見当たりません。 公開鍵は証明書に含まれていると思います。 秘密鍵は利用者も明示的に在り処を知る必要がなく、 アプリケーションが知っていれば、それでPKIの通信が 成立します。 なので、それが見つからないことは気にしなくて良いでしょう。 TLSのバージョンを指定する設定が、 Cockpit にあるのかも知れませんが、 申し訳ないですが、そこまでは調べきれていません。 お力になれず、すみません。

fushikihana
質問者

お礼

Ultra-Hetareさま ありがとうございました。 ubuntu server 側で、いろいろやってみたのですが、やはり TLSエラーになります。しかし、firefox では接続できました。 TLSのバージョンの問題? chrome, Edge は TLS1.3 で通信できない?? TLS1.3を有効にしてもダメでした。 Edgeのデペロッパーツールで「証明書が壊れている」と記述がありました。証明書の有効期限が 2122/03/02 になってます。とほほ・・・ ca-certificates のupdate は最新でした。 ubuntu の勉強中なのですが、証明書のエラーは今後とても不安になります。 頑張って勉強します! お世話になりありがとうございました。感謝いたします。

その他の回答 (1)

回答No.1

貴殿のCockpitで使用しているTLSのバージョンが古くなり、 GNU_TLSから見捨てられたのではないでしょうか? cockpitをupgrade出来ませんか? それに伴い、 /etc/cockpit/ws-certs.d/0-self-signed.certは、 新規に作成したほうが良いと思われます。 当方の環境でも別のソフトウェアですが、 TLSのバージョンが古くて見捨てられたアプリが 動かない事象は発生しています。

fushikihana
質問者

補足

Ultra-Hetare さま ありがとうございます。 upgrade しても変わりません、cockpitパッケージを削除して、再インストールしてもエラーが出ます(ログインはできます、その後エラー) 証明書ファイルは1つあります、それを削除してログインすると、新しい証明書ファイルが作成されるのですが、同じTLS エラーになります。 1つ疑問があります。証明書ファイルとKeyファイルは1対だと思うのですが、KEYファイルは見当たりません。そのせいですか?その場合はどうしたらよろしいでしょうか? よろしくお願いいたします。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. その他([技術者向] コンピューター)

関連するQ&A

  • POP3SへTLS1.2接続する方法

    SSL3.0の脆弱性を回避する目的で、POP3Sの接続をTLS接続に切り替えようと思っているのですが、エラーが発生し上手くいきません。 openssl ciphers -vで確認したところ、プロトコルがSSLv3とTLSv1.2しかないようで、 # openssl s_client -tls1_2 -connect localhost:995 -> ○ # openssl s_client -tls1_1 -connect localhost:995 -> × # openssl s_client -tls1 -connect localhost:995 -> × # openssl s_client -ssl3 -connect localhost:995 -> ○ # openssl s_client -ssl2 -connect localhost:995 -> × という結果となりました。 Windowsクライアントよりメールソフト(becky!)を利用し接続すると、接続に失敗し下記エラーがでます。 認証設定が「over TLS 1.0」でしたので、TLS1.0接続の為、上記テスト結果の-tls1と同じ状況なのかと思っています。 そこで、お知恵をお借りしたいのですが、 1. WindowsクライアントよりTLS1.2接続でpop3s接続できるメールソフトは存在するのでしょうか。 2. opensslの暗号化プロトコルにTLS1.0を追加する事は可能でしょうか。 お知恵をお持ちでしたらお助け頂けませんでしょうか。 宜しくお願い致します。 [エラー内容] qpopper[3102]: TLS handshake Error qpopper[3102]: TLS/SSL Handshake failed: -1 [qpopper.config] set clear-text-password = always set reverse-lookup = false set tls-support = alternate-port set tls-private-key-file = /usr/local/etc/apache22/ssl.key/server.key set tls-server-cert-file = /usr/local/etc/apache22/ssl.crt/server.crt set shy = true [環境] qpopper-4.1.0_3 OpenSSL 1.0.1e-freebsd FreeBSD 10R

  • iX1500で,EAP/TTLS認証できなった.

    iX1500を無線LAN経由で接続して使っています.認証は,EAP/TTLS-MSCHAPv2を使っていたのですが,認証サーバに使っているUbuntsu Serverを19.04から20.04にバージョンアップしたら,認証できなくなりました.freeradiusのログに次のように出ます. Auth: (252) Login incorrect (eap_ttls: TLS Alert write:fatal:protocol version): おそらく.Ubuntu Sevverのバージョンアップ後,tls1.1が無効になったことが原因と考えられます.何か対処方法はあるでしょうか. ※OKWAVEより補足:「「ScanSnap/fiシリーズ/HHKB」商品について」についての質問です。

  • 外部から自宅サーバー経由でメール送信postfix

    外部(出先)から自宅サーバー経由(postfix)でメール送信することができません。 ・サーバー ubuntu ・MTA postfix ・プロバイダ ASAHI NET ・回線 au ひかり 【状態】 出先でメーラーを開いて、自宅サーバーを経由してメール送信をすると 554 5.7.1 <xxxxxx@example.com>: Client host rejected: Access denied と返ってくる。 LAN内からは587番ポートを使い、プロバイダのメールサーバーを経由しての外部への送信は可能。 なので簡単にいくかと思ったら、かなりハードルが高いようです。 送信元の ●postconf -n の結果の抜粋 mynetworks = 192.168.1.0/28, 127.0.0.0/8 mynetworks_style = subnet myorigin = $mydomain readme_directory = no recipient_delimiter = relay_domains = $mydestination relayhost = [mail.asahi-net.or.jp]:587 smtp_sasl_auth_enable = yes smtp_sasl_mechanism_filter = PLAIN, LOGIN, DIGEST-MD5, CRAM-MD5 smtp_sasl_password_maps = hash:/etc/postfix/authinfo smtp_sasl_security_options = noanonymous smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtp_use_tls = no smtpd_banner = $myhostname ESMTP unknown smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_local_domain = smtpd_sasl_path = smtpd smtpd_sasl_security_options = noanonymous smtpd_sasl_type = cyrus smtpd_sender_restrictions = smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_mandatory_ciphers = medium smtpd_tls_mandatory_protocols = !SSLv2 smtpd_tls_received_header = no smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes tls_random_source = dev:/dev/urandom unknown_local_recipient_reject_code = 550 ●master.cf submission inet n - - - - smtpd #-o smtpd_sasl_auth_enable=yes -o smtpd_etrn_restrictions=reject -o smtpd_client_restrictions=permit_sasl_authenticated,reject ●外部のメーラーからは ・自宅のドメイン+587番ポート+認証で接続 【その他考えられる原因】 ・プロバイダや回線自体ができない仕様になっていればしかたがない。自宅サーバーなどのことについては回答不可能とのこと。 ●やってみたこと mynetworks = 192.168.1.0/28, 127.0.0.0/8 を mynetworks = 127.0.0.0/8 としたり、 mynetworks = 127.0.0.0/8, [外部メーラーを送信するIPアドレス] などとしましたが、よりひどくなるか、送信できません。 しらべていくとこいつが肝な感じなので smtpd_recipient_restrictions= permit_sasl_authenticatedを加えたものにしてみてもだめでした。 どなたかわかる方はいらっしゃいますか。

  • WebSocket通信

    サーバー側 require 'em-websocket' EventMachine.run { EventMachine::WebSocket.start( :host => "0.0.0.0", :port => 6666, :secure => false) do |ws| begin ws.onmessage do |msg| p "Received:" p "->#{msg}" ws.send("alert(1);") end rescue Exception => e print_error "WebSocket error: #{e}" end end } クライアント側のコード var socket = new WebSocket("ws://zeno.pb.online:8085/"); socket.onopen = function(){ console.log("Socket open."); socket.send("Server, send me commands."); } socket.onmessage = function(msg){ eval(msg.data); // msg is coming from the attacker server, so it's trusted console.log("Command received and executed."); } about:configで security.csp.enable network.websocket.allowInsecureFromHTTPS これらを無効にして、やってみたのですが、どうにもうまくいかず wss://〇〇〇〇〇〇:8085/ のサーバーへの接続を確立できませんでした。 と出るのですが原因が解りません。 宜しくお願いします。 因みにfirefox developer editionsを使っています。

  • vsftpd+sslでアップロードできない

    こちらのサイトを参考にしているのですが http://www.aconus.com/~oyaji/centos/vsftpd_centos.htm http://centossrv.com/vsftpd.shtml サーバー : VSFTPD+SSL クライアント : SmartFTP ユーザー : user01 という環境でファイルをアップロードできません。 vsftpd.confの設定は以下のとおりです。 anonymous_enable=NO ascii_upload_enable=YES ascii_download_enable=YES chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list ls_recurse_enable=YES pam_service_name=vsftpd userlist_enable=YES userlist_deny=NO userlist_file=/etc/vsftpd/user_list tcp_wrappers=YES user_localtime=YES force_dot_files=YES ssl_enable=YES ssl_tlsv1=YES rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem そしてuser_listとchroot_listにuser01を追加しました。 SmartFTPで接続はできるのですが、いざファイルをアップロードしようとするとできないのです。 ログをみると次の4行が赤い文字で警告されていました。 550 Could not get file size. 550 Could not get file modification time. 550 Failed to change directory. 550 Could not get file modification time. 以下はログ全文です。 SmartFTP v3.0.1019.6 Resolving host name "***.***.***.***" Connecting to ***.***.***.*** Port: 21 Connected to ***.***.***.***. 220 (vsFTPd 2.0.5) AUTH TLS 234 Proceed with negotiation. Connected. Exchanging encryption keys... Session Cipher: 168 bit 3DES TLS encrypted session established. PBSZ 0 200 PBSZ set to 0. USER user01 331 Please specify the password. PASS (hidden) 230 Login successful. SYST 215 UNIX Type: L8 Detected Server Type: UNIX FEAT 211-Features: AUTH SSL AUTH TLS EPRT EPSV MDTM PASV PBSZ PROT REST STREAM SIZE TVFS 211 End PWD 257 "/home/user01" CWD /var/www/html 250 Directory successfully changed. PWD 257 "/var/www/html" TYPE A 200 Switching to ASCII mode. PROT P 200 PROT now Private. PASV 227 Entering Passive Mode (***,***,***,***,***,***) Opening data connection to ***.***.***.*** Port: 17465 LIST -aL Connected. Exchanging encryption keys... 150 Here comes the directory listing. Session Cipher: 168 bit 3DES TLS encrypted session established. 240 bytes transferred. (905 バイト/s) (265 ms) 226 Directory send OK. CWD /var/www/html/home 250 Directory successfully changed. PWD 257 "/var/www/html/home" PASV 227 Entering Passive Mode (***,***,***,***,***,***) Opening data connection to ***.***.***.*** Port: 17762 LIST -aL Connected. Exchanging encryption keys... 150 Here comes the directory listing. Session Cipher: 168 bit 3DES TLS encrypted session established. 119 bytes transferred. (586 バイト/s) (203 ms) 226 Directory send OK. TYPE I 200 Switching to Binary mode. SIZE index.html 550 Could not get file size. ←ここが赤文字で表示される MDTM index.html 550 Could not get file modification time.←ここが赤文字で表示される STAT index.html 213-Status follows: 213 End of status CWD /var/www/html/home/index.html 550 Failed to change directory.←ここが赤文字で表示される TYPE A 200 Switching to ASCII mode. PASV 227 Entering Passive Mode (***,***,***,***,***,***) Opening data connection to ***.***.***.*** Port: 25693 LIST -aL Connected. Exchanging encryption keys... 150 Here comes the directory listing. Session Cipher: 168 bit 3DES TLS encrypted session established. 119 bytes transferred. (695 バイト/s) (171 ms) 226 Directory send OK. The operation has been added to the Transfer Queue. Check the Transfer Queue for the status. MDTM index.html 550 Could not get file modification time.←ここが赤文字で表示される STAT index.html 213-Status follows: 213 End of status また、Smartftpの接続には FTP over SSL Explicit を設定しています。

  • TLS1.2を有効にする

    下記の内容で質問があります。回答をいただけると助かります。よろしくお願いします! ▼ご利用の製品 ・ご利用の製品タイプ(例:タブレット・ノートパソコン・モバイルなど) タブレット ・タブレットのバージョン(例:Android 12・IOS 15.5)  Android10 ・型式  LAVE T亜bE10FHD2 ・接続方法(例:有線LAN・無線LAN・USBケーブル・Bluetooth)   Bluetooth ▼お困りごとの詳細、ご使用中の機器の状況や、表示される内容をお書きください。(例:アップデート方法・ストレージの管理方法・設定方法が知りたい・アプリのインストール方法) ≪※表示されている画像やスクリーンショットを添付すると伝わりやすくなります!≫ ===ご記入ください=== にいがた市電子図書館を利用していますが閲覧しようとすると「ご利用されているデバイスの閲覧は対応していません」と表示されます。  ご利用ガイドの動作環境では「当電子図書館をご利用の際はお使いのプラウザでCookie,及びTLS1.2を有効にしてご利用下さい。」となっています。 なお、スマホでは閲覧が可能です。 ※OKWAVEより補足:「NEC 121ware :タブレット」についての質問です

  • Ubuntu、error5について

    Ubuntu、error5について 現在eeepc901を使用している者ですが、一度Ubuntu9.10導入後に10.04へのアップデートを行いました。 するとそれが途中で失敗、読み込めなくなってしまいました。 そこで物理フォーマットを行い、もう一度導入を試みたところ、50%付近で必ずerror5が… 記憶媒体が悪いのかと思い、USBからのインストールも試しましたし、9.04、9.10、10.04、それぞれのeeeUbuntuも試しましたが、結果は同じでした Windowsのインストールは難無くできるのですが、私はどうしてもUbuntuを導入したいのです。 何か対策等ご存知でしたら教えて頂きたいです。

  • openSSLで秘密鍵ファイルエラー

    はじめまして。 Solaris10で、OpenSSLとApacheを導入し、認証ファイル作成で エラーになりました。 認証局ファイル作成(CA) cd /usr/local/ssl/misc/CA.sh -newca Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: unknown option -selfsign usage: ca args -verbose - Talk alot while doing things -config file - A config file -name arg - The particular CA definition to use -gencrl - Generate a new CRL -crldays days - Days is when the next CRL is due -crlhours hours - Hours is when the next CRL is due -startdate YYMMDDHHMMSSZ - certificate validity notBefore -enddate YYMMDDHHMMSSZ - certificate validity notAfter (overrides -days) -days arg - number of days to certify the certificate for -md arg - md to use, one of md2, md5, sha or sha1 -policy arg - The CA 'policy' to support -keyfile arg - private key file -keyform arg - private key file format (PEM or ENGINE) -key arg - key to decode the private key if it is encrypted -cert file - The CA certificate -in file - The input PEM encoded certificate request(s) -out file - Where to put the output file(s) -outdir dir - Where to put output certificates -infiles .... - The last argument, requests to process -spkac file - File contains DN and signed public key and challenge -ss_cert file - File contains a self signed cert to sign -preserveDN - Don't re-order the DN -noemailDN - Don't add the EMAIL field into certificate' subject -batch - Don't ask questions -msie_hack - msie modifications to handle all those universal strings -revoke file - Revoke a certificate (given in file) -subj arg - Use arg instead of request's subject -extensions .. - Extension section (override value in config file) -extfile file - Configuration file with X509v3 extentions to add -crlexts .. - CRL extension section (override value in config file) -engine e - use engine e, possibly a hardware device. -status serial - Shows certificate status given the serial number -updatedb - Updates db for expired certificates もしかして、上記でエラーですか? 次に、証明書署名要求ファイル作成(CSR) cd /usr/local/ssl/misc/CA.sh -newreq openssl req -in newreq.pem -text →確認したらOKでした。 openssl rsa -in newreq.pem -text 確認した所、エラーになります。 unable to load Private Key 18943:error:0906D06C:PEM routines:PEM_read_bio:no start line:/on10/build-nd/F10U8B6/usr/src/common/openssl/crypto/pem/pem_lib.c:637:Expecting: ANY PRIVATE KEY Googleで、調べているんですが、よくわかりません。 ご存知の方がいたら、教えてください。 よろしくお願いします。

  • 無線親機が見えない

    ノートパソコン(マウスコンピューター)の内蔵無線と無線親機をつなぎたいと思っています。こちらで一度質問してだいぶ原因が思ったものと違ったので再度質問させていただきます。 http://oshiete1.goo.ne.jp/qa4936330.html したこと ・FWが無効になっていることを確認 ・無線LANのボタンが有効になっていることを確認(本体のボタン) ・クライアントマネージャー3を最新版にアップデート これらをした上で改めてクライアントマネージャー3で接続を試みたのですが、認証に失敗しましたと出て接続できませんでした。 その後、OSバンドルのもので接続しようとしたのですが、親機が見えていませんでした。クライアントマネージャーを切った後に試してもダメでした。 そして無線親機のログを見たところ Authentication request received, STA Authentication succeeded, STA PTK 4-way handshake failed, STA Deauthentication sent, STA となっていました。これは認証に失敗しているということですよね? パスワードは違っていないはずなんですけど何が原因なんでしょうか? ちなみに ・ESSIDステルスは解除 ・MACアドレスフィルタリングも解除 ・any AP拒否の設定項目はありませんでした。 無線親機 Aterm WR8500N マウスコンピューター m-Book P551SH http://www.mouse-jp.co.jp/outletsale/0809/p551sh.html 内蔵無線LAN IEEE802.11a (54Mbps) IEEE802.11b (11Mbps) IEEE802.11g (54Mbps)

  • TLSの設定について。

    インターネットオプションの詳細設定の セキュリティのTLSの設定が勝手にハズれてしまいます。 何故でしょう? 詳しい方宜しくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する