<div dir="ltr"><span style="color:rgb(33,33,33);font-family:inherit;font-size:13.006px">Paul,</span><div><font color="#212121"><span style="font-size:13.006px"><br></span></font></div><div><ul style="margin-left:0px;padding-left:0px;margin-top:10px;margin-bottom:10px;color:rgb(36,36,36);font-size:14px"><li style="list-style-type:disc;margin-left:20px"><strong>Background</strong>: The link 

<span style="color:rgb(34,34,34);font-size:small"><a href="https://gerrit.openbmc.org/c/openbmc/phosphor-certificate-manager/+/49130">https://gerrit.openbmc.org/c/openbmc/phosphor-certificate-manager/+/49130</a></span>  to the Gerrit review provides context on why the certificate manager allows the installation of certificates even when the <code style="overflow-wrap: break-word;">X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT</code> error is encountered.</li><li style="list-style-type:disc;margin-left:20px"><strong>Current Behavior</strong>: With the latest code, the certificate manager permits the installation of certificates with this specific error, and BMCweb can use these certificates.</li></ul><p style="margin:0px 0px 1em;color:rgb(36,36,36);font-size:14px">If you have more questions or need clarification, we can discuss here or on Discord.</p></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Nov 27, 2024 at 9:01 PM Paul Gildea <<a href="mailto:Paul.Gildea@klasgroup.com">Paul.Gildea@klasgroup.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>I'm trying to log in over HTTPS via certificate with my browser and it doesn't work. I've followed this setup process and checked that the verification is correct:</div><div><br><a href="https://gerrit.openbmc.org/plugins/gitiles/openbmc/docs/+/ef6af2726cdd976a6d767e569fabd639f8abb6d2/security/TLS-configuration.md" target="_blank">https://gerrit.openbmc.org/plugins/gitiles/openbmc/docs/+/ef6af2726cdd976a6d767e569fabd639f8abb6d2/security/TLS-configuration.md</a><br><br>Checking the logs I see this output:<br><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><font face="monospace">Nov 22 14:35:33 vm3 phosphor-certificate-manager[215]: Certificate install, FILEPATH:/tmp/Cert<br></font><font face="monospace">s.Adv311/cert.pem<br></font><font face="monospace">Nov 22 14:35:33 vm3 systemd[1]: Reloading Start bmcweb server...<br></font><font face="monospace">Nov 22 14:35:33 vm3 phosphor-host-state-manager[367]: Check if host is running<br></font><font face="monospace">Nov 22 14:35:33 vm3 phosphor-host-state-manager[367]: Host is running!<br></font><font face="monospace">Nov 22 14:35:33 vm3 phosphor-host-state-manager[367]: Received signal that host is running<br></font><font face="monospace">Nov 22 14:35:33 vm3 phosphor-host-state-manager[367]: Change to Host State: xyz.openbmc_projec<br></font><font face="monospace">t.State.Host.HostState.Running<br></font><font face="monospace">Nov 22 14:35:33 vm3 systemd[1]: Reloaded Start bmcweb server.<br></font><font face="monospace">Nov 22 14:35:33 vm3 phosphor-host-state-manager[367]: Check if host is running<br></font><font face="monospace">Nov 22 14:35:33 vm3 phosphor-host-state-manager[367]: Host is running!<br></font><font face="monospace">Nov 22 14:35:33 vm3 phosphor-host-state-manager[367]: Received signal that host is running<br></font><font face="monospace">Nov 22 14:35:33 vm3 phosphor-host-state-manager[367]: Change to Host State: xyz.openbmc_projec<br></font><font face="monospace">t.State.Host.HostState.Running<br></font><font face="monospace">Nov 22 14:36:16 vm3 phosphor-certificate-manager[216]: Certificate install, FILEPATH:/tmp/Cert<br></font><font face="monospace">s.jDVxEN/cert.pem<br></font><font face="monospace"><b>Nov 22 14:36:16 vm3 phosphor-certificate-manager[216]: Error occurred during X509_verify_cert<br></b></font><font face="monospace"><b>call, checking for known error, ERRCODE:20, ERROR_STR:unable to get local issuer certificate</b><br></font><font face="monospace">Nov 22 14:36:16 vm3 phosphor-certificate-manager[216]: Certificate compareKeys, FILEPATH:/tmp/<br></font><font face="monospace">Certs.jDVxEN/cert.pem<br></font><font face="monospace">Nov 22 14:36:16 vm3 phosphor-certificate-manager[216]: Inotify callback to update certificate<br></font><font face="monospace">properties<br></font><font face="monospace">Nov 22 14:36:16 vm3 systemd[1]: Reloading Start bmcweb server...<br></font><font face="monospace">Nov 22 14:36:16 vm3 systemd[1]: Reloaded Start bmcweb server.</font></blockquote><div><br></div><br>Noting the error and looking at a build based on old code from a few years ago I get the same error in the logs, but it does log in with the certificate anyway.</div><div><br></div><div>Reading the code, there looks to be a trusted chain bypass for certain issues, including this one, but from my understanding this still shouldn't log in over HTTPS, and the newer behaviour is correct? If so, any idea what might be wrong?<br><br>Thanks,</div><div>Paul</div></div>

<br>
<div style="font-size:1.3em"><img src="https://www.klasgroup.com/wp-content/uploads/2020/11/Klas-Logo-30px.png"></div><div style="font-size:1.3em"><br></div><div style="font-family:Arial,Helvetica,sans-serif"><div style="font-family:Arial,Helvetica,sans-serif"><span style="font-size:1.3em"><img></span><br><div style="font-family:Arial,Helvetica,sans-serif"><div dir="ltr" style="color:rgb(34,34,34);background-color:rgb(255,255,255)"><font size="1">This message is intended solely for the person or entity to which it is addressed and may contain confidential and/or privileged material.  If you have received this message in error, please send it back to us, immediately and permanently delete it, and do not use, copy or disclose the information contained in this message or in any attachment.<br></font></div><div dir="ltr" style="color:rgb(34,34,34);background-color:rgb(255,255,255)"><div dir="ltr"><font size="1"><br></font></div><div dir="ltr"><font size="1">Klas LTD (Company Number 163303) trading as Klas, an Irish private company limited by shares, with its registered office at One Kilmainham Square, Dublin 8, Ireland D08 ET1W.<br></font></div><div dir="ltr"><font size="1"><br></font></div><div dir="ltr"></div></div><span style="color:rgb(80,0,80);background-color:rgb(255,255,255)"><div dir="ltr"><font size="1">Klas Telecom Inc., a Virginia Corporation with offices at 1101 30th St. NW, Washington, DC 20007.</font></div></span></div></div></div></blockquote></div>