Hello List,<br><br>I am trying to install a CA signed SSL certificate and having problems with osa-dispatcher verifying the certificate. I am getting the following error while restart osa-dispatcher service.<br><br> Starting osa-dispatcher: RHN 10059 2011/07/29 09:44:48 -07:00: ('Traceback<br>
<br>caught:',)<br>RHN 10059 2011/07/29 09:44:48 -07:00: ('Traceback (most recent call last):\n <br>File "/usr/share/rhn/osad/jabber_lib.py", line 610, in connect\n   <br>ssl.do_handshake()\nError: [(\'SSL routines\', \'SSL3_GET_SERVER_CERTIFICATE\',<br>
\'certificate verify failed\')]\n',)<br><br><div>I have the following configuration in my /etc/rhn/rhn.conf file:</div><div>osa-dispatcher.osa_ssl_cert = /var/www/html/pub/RHN-ORG-TRUSTED-SSL-CERT</div><div>server.satellite.ca_chain = /usr/share/rhn/RHNS-CA-CERT</div>
<div><br></div><div>On my clients I have the following setup:</div><div>in /etc/sysconfig/rhn/osad.conf</div><div>osa_ssl_cert = /usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT</div><div><br></div><div>/etc/sysconfig/rhn/up2date</div>
<div><div>sslCACert[comment]=The CA cert used to verify the ssl server</div><div>sslCACert=/usr/share/rhn/RHNS-CA-CERT</div></div><div><br></div><div>Now, when I received my signed certificate I received 4 files.</div><div>
.csr .crt .key and CA_bundle.crt</div><div><br></div><div>The steps I used to configure Spacewalk to use the signed cert is as follows:</div><div><div>openssl x509 -in Signed-cert.crt -text > /root/ssl-build/removed for security/server.crt</div>
<div><br></div><div>/bin/cp -f /root/swkeys/removed for security/Signed-cert.csr /root/ssl-build/removed for security/server.csr</div><div><br></div><div>/bin/cp -f /root/swkeys/removed for security/Signed-cert.key /root/ssl-build/removed for security/server.key</div>
<div><br></div><div>cat /root/ssl-build/removed for security/server.crt /root/ssl-build/removed for security/server.key > /root/ssl-build/removed for security/server.pem</div><div><br></div><div>cd /root/</div><div><br>
</div><div>rhn-ssl-tool --gen-server --set-hostname=removed for security.intranet.gdg --rpm-only</div><div><br></div><div>rpm -qa | grep rhn-org</div><div><br></div><div>rpm -e rhn-org-httpd-ssl-key-pair-removed for security.dev-1.0-8</div>
<div><br></div><div>rpm -Fvh ./ssl-build/removed for security/rhn-org-httpd-ssl-key-pair-removed for security-1.0-9.noarch.rpm</div><div><br></div><div>/bin/cp -f ./ssl-build/removed for security/server.pem /etc/pki/spacewalk/jabberd/server.pem</div>
<div><br></div><div>openssl x509 -in /root/swkeys/removed for security/Signed-cert.crt -text > /root/ssl-build/RHN-ORG-TRUSTED-SSL-CERT</div><div><br></div><div>openssl x509 -in /root/swkeys/removed for security/CA_bundle.crt -text > /usr/share/rhn/RHNS-CA-CERT</div>
<div><br></div><div>rhn-ssl-tool --gen-ca --rpm-only</div><div><br></div><div>/bin/cp -f /root/ssl-build/RHN-ORG-TRUSTED-SSL-CERT /var/www/html/pub/RHN-ORG-TRUSTED-SSL-CERT</div><div><br></div><div>spacewalk-service start</div>
<div><br></div><div>Spacewalk-Proxy:</div><div>wget -O /usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT <a href="http://removed">http://removed</a> for security/pub/RHN-ORG-TRUSTED-SSL-CERT</div></div><div><br></div><div>With the above steps do you see anything that I am doing wrong that I can change to get this working. It seems to me that the RHN-ORG-TRUSTED-SSL-CERT should be my signed cert and have RHNS-CA-CERT by my CA_bundle to verify it. Thank you in advance for your help in this and thank you for your time.</div>
<div><br></div><div>Regards,</div><div>Jeremy</div><div><br></div>