Aller au contenu


Unable to start TLS: SSL connect attempt failed error:14090086


  • Veuillez vous connecter pour répondre
5 réponses à ce sujet

#1 benhool

benhool

    Membre avancé

  • Membres
  • 36 messages
  • LocalisationTahiti

Posté 27 novembre 2017 - 22:37

Salut à tous,

je rentre tranquille de mon week end, ça devait être un Lundi matin tranquille avec quelques café mais je trouve mon serveur zimbra HS

voici le message:

root@zimbra: opt# su - zimbra -c "zmcontrol start"
Host zimbra.xxx.xxx
Starting ldap...Done.
Unable to start TLS: SSL connect attempt failed error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed when connecting to ldap master.

root@zimbra: opt# su - zimbra -c "zmcontrol status"
Unable to start TLS: SSL connect attempt failed error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed when connecting to ldap master.
Cannot determine services - exiting

contenu zimbra.log

Nov 27 11:06:09 zimbra zimbramon[4875]: 4875:info: Starting services initiated by zmcontrol
Nov 27 11:06:09 zimbra slapd[4928]: @(#) $OpenLDAP: slapd 2.4.44 (Jul 29 2016 15:26:31) $#012#011build@u1687:/home/build/git/87/packages/thirdparty/openldap/build/UBUNTU16_64/zimbra-openldap/servers/slapd
Nov 27 11:06:09 zimbra slapd[4929]: slapd starting

Plus rien...

J'ai cherché autour de la conf LDAP, j'ai restauré la conf
J'ai restauré la sauvegarde rien n'y fait...

Pas grand chose sur cette erreur dans Google...

manifestement un soucis de SSL sur la conf ou le certificat
J'utilise un certificat auto-signé mais ça roulait parfaitement depuis l'install...

Help please
Zimbra OSE 8.7.1 en test sur VM HyperV - Ubuntu Server 16.04
8Go Ram - datastore 400 Go

#2 benhool

benhool

    Membre avancé

  • Membres
  • 36 messages
  • LocalisationTahiti

Posté 27 novembre 2017 - 22:55

J'ai restauré une sauvegarde de ma VM et toujours pareil !!! Incroyable...
du coup ça m'a mis la puce à l'oreille.

Le certificat était périmé:

pour le voir

zimbra@zimbra:~$ /opt/zimbra/bin/zmcertmgr viewdeployedcrt
- ldap: /opt/zimbra/conf/slapd.crt
notBefore=Nov 24 21:41:40 2016 GMT
notAfter=Nov 24 21:41:40 2017 GMT

subject= /OU=Zimbra Collaboration Server/CN=zimbra.xxx
issuer= /O=CA/OU=Zimbra Collaboration Server/CN=zimbra.xxx
SubjectAltName=zimbra.xxx
- mailboxd: /opt/zimbra/mailboxd/etc/mailboxd.pem
notBefore=Nov 24 21:41:40 2016 GMT
notAfter=Nov 24 21:41:40 2017 GMT
subject= /OU=Zimbra Collaboration Server/CN=zimbra.xxx
issuer= /O=CA/OU=Zimbra Collaboration Server/CN=zimbra.xxx
SubjectAltName=zimbra.xxx
- mta: /opt/zimbra/conf/smtpd.crt
notBefore=Nov 24 21:41:40 2016 GMT
notAfter=Nov 24 21:41:40 2017 GMT
subject= /OU=Zimbra Collaboration Server/CN=zimbra.xxx
issuer= /O=CA/OU=Zimbra Collaboration Server/CN=zimbra.xxx
SubjectAltName=zimbra.xxx
- proxy: /opt/zimbra/conf/nginx.crt
notBefore=Nov 24 21:41:40 2016 GMT
notAfter=Nov 24 21:41:40 2017 GMT
subject= /OU=Zimbra Collaboration Server/CN=zimbra.xxx
issuer= /O=CA/OU=Zimbra Collaboration Server/CN=zimbra.xxx
SubjectAltName=zimbra.xxx

voici la procédure pour le régénérer:

https://wiki.zimbra....rtificate_Tools
https://wiki.zimbra....-_Single-Server
Single-Node Self-Signed Certificate

1. Begin by generating a new Certificate Authority (CA).
/opt/zimbra/bin/zmcertmgr createca -new

2. Then generate a certificate signed by the CA that expires in 1825 days.
/opt/zimbra/bin/zmcertmgr createcrt -new -days 1825

3. Next deploy the certificate.
/opt/zimbra/bin/zmcertmgr deploycrt self

4. Next deploy the CA.
/opt/zimbra/bin/zmcertmgr deployca


du coup ça redémarre tout seul
Bon j'ai flippé pour rien mais stressant ce truc quand même...

Je vous laisse je vais changer de caleçon...
Zimbra OSE 8.7.1 en test sur VM HyperV - Ubuntu Server 16.04
8Go Ram - datastore 400 Go

#3 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 285 messages
  • LocalisationPlanète Terre

Posté 28 novembre 2017 - 09:00

Désactive starttls dans le zmlocalconfig.

Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org


#4 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 522 messages
  • LocalisationLyon

Posté 29 novembre 2017 - 17:02

Cette bonne vieille blague du certificat valable qu'un an ...
Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#5 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 282 messages
  • LocalisationBeaucaire - Gard

Posté 30 novembre 2017 - 09:59

Voir le messagevdagost, le 29 novembre 2017 - 17:02, dit :

Cette bonne vieille blague du certificat valable qu'un an ...
Cette bonne vieille blague des admins qui laissent les auto-signés 8)

#6 jivef

jivef

    Nouveau membre

  • Membres
  • 1 messages
  • LocalisationTahiti

Posté 11 octobre 2018 - 03:20

Voir le messagebenhool, le 27 novembre 2017 - 22:55, dit :

du coup ça redémarre tout seul
Bon j'ai flippé pour rien mais stressant ce truc quand même...

Je vous laisse je vais changer de caleçon...

Bonjour,
J'ai eu le même problème hier et grâce à toi, j'avais la soluce.
Mais j'ai du redémarrer complètement le serveur.
Et finalement, je n'ai pas eu à changer de caleçon... mais c'était moins une...

Pour le certificat, j'ai mis 3665 jours, ça fait 10 ans... et dans 10 ans je serai presque à la retraite :-)
Mais surtout on aura certainement changé le serveur d'ici là.

A bientôt.
Ma signature peut contenir n'importe quoi...
N'importe quoi !




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)