Certificate 'freenas_default' has expired. (未解決)

TrueNAS CORE から TrueNAS SCALE にアップグレードするとオレオレ証明書が更新される
TrueNAS SCALE にアップグレードすると解消するのでもう修正されないのでは、とも思えます。



freenas_default_exipred_01a.png

現時点ではこの証明書の有効期限を直接延長する解消方法が見当たりません。
HTTPS接続で接続する際に利用される自己署名の証明書なので、
今のところ
Dismiss して、接続の際の証明書が無効たど警告されるのをずっと無視するか、
HTTP接続でヨシとするしか。
(期限を延長する方法ご存じの方はお知らせ下さい)
警告を止めるだけなら
TrueNAS に新たな自己署名証明書を登録する
という回避方法もあるにはある。


セットアップしたっきり古いバージョンのまま長期間寝てた FreeNAS でこのようなエラーが出てる。

CRITICAL
Certificate 'freenas_default' has expired.
2022-11-27 18:26:30 (Asia/Tokyo)

System > Certificates
のところにある

freenas_default_exipred_02a.png

freenas_default

っていう証明書の有効期限が切れてる。


なお、普段稼働していて、割と頻繁にアップデートを適用している TrueNAS (元々は FreeNAS からアップデートしてきているので最初のインストールは相当昔なはず)では、
証明書の From も割と新しい日付になっている。
稼働してても、アップデートを見合わせていたせいか、稼働したまま有効期限が切れたモノもあります。
(ただ、Until は2023年までだったり2029年までだったり、どういう仕組みなのかわからない感じに有効期限がバラバラ。特定のバージョンだけ延長機能があったのか…?また延長される期間にも変更があったように思える)

自己署名の証明書なので、
FreeNAS / TrueNAS のアップデートの際に更新されているのだろうかと思ったのですが、
(試したところ最初に作成されるのは最初のインストール時っぽい)
有効期限が切れてからアップデートしても更新されないような感じです。
なお、遠隔地で、GUIベースでアップデートすると再起動時にコケることがあってアップデートをこまねいた FreeNAS 11.3-U5 などは、稼働しつつ、証明書の期限が切れました。

NTPを無効にしてBIOSの内部時計を巻き戻して
有効期限内にしてからアップデートしてもダメ、

新規インストールしてから Upload Config すると、
せっかく新規に作成された証明書も古いものに置き換わってしまう。

解決済みのタグ付けされたスレッドでは、
新しい認証局と証明書を作成する(たぶんそのあと System>GeneralのGUI SSL Certificate を変更するんだろうと思う)、っていう方法が指示されてる。

[SOLVED] Certificate has expired
https://www.truenas.com/community/threads/certificate-has-expired.106134/

> make a certificate and select it, then delete the obsolete one.
> (証明書を作成し、それを選択し、古いものを削除します)

ただ、
それではこの証明書自体を更新できているわけではない気がする。認証局から登録しなければならないし、名前も別の名前で登録しなければならないし。
(HTTPS接続のための新しい証明書を用意してそれに変更する、という意味では妥当な回避方法かも知れないけど、所詮自己署名の証明書なので、そんなことせずに期限が延長さえされればいいと思うのですが)
根本的には、なんらかの方法で期限を延長できるか、更新版の自己署名証明書にすることができればいいだけだと思う。

Jiraのチケットでは、22.02-RC.2 / 12.0-U5 に自動更新(というか自動的に期間延長すればいいと思うんだけど)が組み込まれてるっぽいんだけど、TrueNAS CORE のリリースノート内にはない気がする。どのタイミングで延長されるんだろ。

Certificate 'freenas_default' has expired.
https://www.truenas.com/community/threads/certificate-freenas_default-has-expired.87913/#post-705617

Freenas_default expired
https://ixsystems.atlassian.net/browse/NAS-112543

NAS-112543 / 22.02-RC.2 / Automatically renew system generated certificate if it has expired or is about to expire #7688
https://github.com/truenas/middleware/pull/7688


予防としては
インストール前にBIOSの時計がある程度正しいことを確認してからインストールすること。
自己署名証明書の有効期限が切れる前に新しいバージョンへアップデートすること。
くらいでしようか。


現象を再現させるためには、
BIOSで時計を古い状態にしてインストールするといいみたい。
(そのままではネットワークが起動しないので、ネットワークを手動で設定してしまうと、NTPで時計があって、そのまま自己署名証明書の有効期限が自動的に切れる感じ)
TrueNASのバージョンによって自己署名証明書の有効期限の長さが違うので一概には言えませんが、作成時点で1年とか10年とかってなっている気がします。ので、有効期限を切れさせるためにはNTPで合わせられる現在の日次より1年とか10年以上前の日付にする。
FreeNAS 11.3-U5 はインストール時2年の期限があるみたいなので、2年以上前(3年とか)にすると、インストール後の再起動後に有効期限が切れてる状態を作れます。
TrueNAS CORE 13.0-U4 だと、1年っぽい。

コメントは無効になっていますので、何かありましたらフォームかTwitter(X)で。

About

2022年11月27日 14:59に投稿されたエントリーのページです。

ひとつ前の投稿は「AKAI GX-R70EX」です。

次の投稿は「YiYiMerci Game Store のキットでゲームボーイカラーをIPS液晶化」です。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。

Powered by
Movable Type 3.35