Zum Inhalt

Known Hosts Authentifizierung für sichere Verbindungen zu Agent-Stationen aktivieren

Um die Verbindung gegen Man-in-the-Middle-Angriffe zu stärken - ohne eigene Zertifikate erstellen zu müssen - können Sie die Prüfung der Known Hosts auf dem Server aktivieren.

  1. Beenden Sie den VDog MasterService.
  2. Öffnen Sie die Datei server.ini im Serverarchiv (VD$A\Configuration\Server.ini).

  3. Fügen Sie in der Sektion [Common] den folgenden Eintrag hinzu:

    KnownHostsOnCsc=Y

  4. Starten Sie den VDog MasterService neu.

Wenn diese Option aktiviert ist, überprüft der Server während der Jobausführung den Fingerabdruck des Zertifikats der Agent-Station. Stimmt der Fingerabdruck nicht überein, wird die Verbindung abgebrochen und ein Fehler ins Log geschrieben.

Beispiele für Fehlermeldungen:

"Die Authentizität des Hosts 'my.agentstation.local' kann nicht festgestellt werden. Der Fingerabdruck des Zertifikats lautet '00:01:02:03:04:05:06:07:08:09:0a:0b:0c:0d:0e:0f:10:11:12:13:14:15:16:17:18:19:1a:1b:1c:1d:1e:1f'. Bitte wenden Sie sich an Ihren Systemadministrator."

"Die Verbindung zur Agent-Station 'my.agentstation.local' schlägt fehl, da ihr Zertifikat unerwartet geändert wurde. Bitte überprüfen Sie, ob der Fingerabdruck im Eintrag des Servers in knownhosts.txt mit demjenigen übereinstimmt, den die Agent-Stationen beim Start in ihre Debug-Logdateien dumpen."

Wenn Sie eine Fehlermeldung wie diese sehen, bedeutet dies, dass das Zertifikat des Agents nicht mit dem vom Server erwarteten Zertifikat übereinstimmt.

Um das Problem zu analysieren, gehen Sie wie folgt vor:

  1. Prüfen Sie, ob der Fingerabdruck in der Fehlermeldung mit dem von der Agent-Station tatsächlich verwendeten übereinstimmt.

    Die Agents schreiben ihren Fingerabdruck in ihr Debug-Log.

  2. Öffnen Sie auf dem Rechner des Agents die entsprechenden Dateien im Agent-Archiv ab dem Zeitpunkt, an dem der Agent (neu) gestartet wurde.

    • VD$A\Logs\Debug\VDogUploadAgent oder
    • VD$A\Logs\Debug\VDogCompareAgent

    Starten Sie bei Bedarf die Agents neu, um die Logs neu zu erzeugen.

  3. Suchen Sie in den Dateien nach einer Zeile ähnlich der folgenden:

    "Das Zertifikat des Servers hat den Fingerabdruck 00:01:02:03:04:05:06:07:08:09:0a:0b:0c:0d:0e:0f:10:11:12:13:14:15:16:17:18:19:1a:1b:1c:1d:1e:1f".

Fehlalarme erkennen

Der Fingerabdruck in den Log-Dateien des Agents-Rechners muss mit dem Fingerabdruck in der obigen Fehlermeldung des Servers übereinstimmen.

  • Wenn die Fingerabdrücke nicht übereinstimmen, bedeutet dies, dass der Server keine direkte Verbindung zu diesem Agent herstellt.

    Diese Art von Unstimmigkeit kann eine legitime Ursache haben. Zum Beispiel, wenn eine Firewall so konfiguriert ist, dass sie verschlüsselten Datenverkehr, der TLS (Transport Layer Security) verwendet, abfängt und untersucht. Wenn Sie sich nicht sicher sind, ob dies zutrifft, fragen Sie Ihren Netzwerkadministrator.

    Vergewissern Sie sich auch, dass die für den Agent auf dem Server konfigurierte Adresse tatsächlich der richtigen Agent-Station entspricht.

    Warning

    Wenn es keinen triftigen Grund für die Nichtübereinstimmung gibt, kann dies auf einen möglichen Man-in-the-Middle-Angriff hindeuten.

  • Wenn der Fingerabdruck übereinstimmt oder Sie sicher sind, dass es einen triftigen Grund für die Nichtübereinstimmung gibt, Sie aber dennoch diese Fehlermeldung erhalten, wurde das Zertifikat des Agents wahrscheinlich kürzlich geändert oder neu erstellt. Zum Beispiel, wenn der Agent mit einem neuen Agent-Archiv neu installiert wurde.

    In diesem Fall (und nur dann!) entfernen Sie diese Agent-Station aus der Datei KnownHosts.txt des Servers:

    1. Öffnen Sie im Serverarchiv die Datei VD$A\Configuration\Local\KnownHosts.txt mit einem Texteditor.

    2. Suchen und löschen Sie die Zeilen, die sich auf den betroffenen Agent beziehen.

      Beispiele:

      my.agentstation.local 64011 4F4EA3E046F95327373587C3D1DB2537866A8D59765D00AD82256A6F5A19808B my.agentstation.local 64010 4F4EA3E046F95327373587C3D1DB2537866A8D59765D00AD82256A6F5A19808B

    3. Speichern Sie die Datei. Ein Neustart des Servers ist nicht erforderlich.

    4. Stellen Sie die Verbindung erneut her, um zu prüfen, ob der Fehler nicht mehr auftritt.
    5. Nach einer erfolgreichen Verbindung generiert der Server die Datei KnownHosts.txt mit dem richtigen Fingerabdruck neu.

Verwandte Themen