Zertifikatsprobleme nach Update des Clients

Technische Grundlagen Migration & Update
1

Sehr geehrte Damen und Herren,

wir betreiben eine Verinice Pro-Infrastruktur und haben heute auf die neue Version 1.21 geupdatet.

Unseren alten Clients wurde unser RootSubCA importiert und dies war bisher ausreichend und funktional. Nach dem Update erhalten wir folgende Fehlermeldung, welche sich nach erneutem Zertifikatsimport erübrigt.

2021-01-04 12:01:38,239 ERROR [main] (RightsServiceClient.java:77)     - Error while checking action. Returning false
org.springframework.remoting.RemoteAccessException: Could not access HTTP invoker remote service at [https://sv-bsi-verinice.xxx.company.de/veriniceserver/service/rightsServiceHttpInvoker
            ]; nested exception is javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Gibt es für das Client-Update eine Lösung die, diesen erneuten Zertifikatsimport unnötig macht? Für neue User haben wir das Zertifikat im .zip welches vom Webserver geladen werden kann importiert, auch dies ist funktional.

PS: Das Update läuft auch ohne manipulierte Dateien auf dem Webspace in den oben genannten Fehler.

Anbei noch die Fehlermeldung des Clients:
2021-01-05 08_26_19-Greenshot

2

Hallo Alexander Ebert,

an dieser Stelle wäre es interessant zu erfahren, von welcher Version Sie auf 1.21 geupdatet haben? Ab verinice 1.20 hat sich nämlich der Dateipfad des Keystores im verinice Client geändert. Dadurch können die alten Keystore Dateien nicht mehr eingelesen werden.
Ansonsten haben Sie bereits ein häufig verwendetes Vorgehen beschrieben: nach dem Import des Zertifikates packen Sie den Client Ordner in ein .zip Archiv und bieten dieses auf dem Webfrontend zum Download an. Somit hat sofort jeder User nach dem Download Zugriff auf das benötigte Zertifikat. Alternativ können Sie auch die Keystore Datei (cacerts) eines neuen Clients durch die eines älteren, operablen Clients ersetzen. Damit sparen Sie sich zumindest den Vorgang des händischen Imports via Konsolen Kommandos. Der gesamte Vorgang des Zertifikatsimports ist in den Installationsanleitungen auf update.verinice.com beschrieben.

Mit freundlichem Gruß
Jan Ertelt, verinice Team