El dom, 21 ene 2024 a las 21:13, Camaleón (<noela...@gmail.com>) escribió: > > El 2024-01-21 a las 13:58 +0100, RLL escribió: > > > Me está resultando dificil hacer uso de las comunicaciones cifradas en > > Bacula. > > > > Estoy reutilizando easy-rsa de OpenVPN para generar certificados de servidor > > para un servidor web Apache sin problemas, y lo mismo quiero hacer para los > > clientes de Bacula donde por lo visto tiene que coincidir el Common Name del > > certificado con la dirección del cliente que no con el nombre del cliente, > > igualmente aplicado al bacula-dir.conf, bacula-sd.conf y bacula-fd.conf . > > > > Entonces cuando hago la conexión con bconsole tras el reinicio de los > > servicios el log que obtengo es el siguiente: > > > > Destaco el mensaje de error "bacula-dir .... tls.c:94-0 Error with > > certificate at depth: .... ERR=26:unsuitable certificate purpose" . Cuando > > el certificado del servidor se generó con easy-rsa indicando precisamente > > que es para un servidor. > > No uso Bacula, Sólo un apunte por si te resulta de interés y/o utilidad. > > Aunque es un hilo antiguo (2011) el error y el problema parecen > similares, echa un vistazo a estos mensajes de los foros de Bacula: > > [Bacula-users] bacula and tls. Can't get that working > https://sourceforge.net/p/bacula/mailman/bacula-users/thread/20111108190128.6beff8f8%40d830-oh/#msg28371522 > > Saludos, > > -- > Camaleón >
Solucionado. Finalmente he podido rellenar bien los ficheros de configuración, cosa compleja por todas las referencias necesarias. Los certificados generados con easy-rsa como server funcionan sin hacer ningún ajuste. El capítulo sobre TLS en el manual 9 se queda corto https://www.bacula.org/9.6.x-manuals/en/main/Bacula_TLS_Communications_E.html y en la versión 11 podemos ver un ejemplo completo https://www.bacula.org/11.0.x-manuals/en/main/Bacula_TLS_Communications_E.html que me ha aclarado todo lo que hay que rellenar. Hay que rellenar tantas referencias de TLS como intervinientes en la comunicación: - De bconsole a Director. - De Director a Storage Daemon. - De Director a Cliente. - De Cliente a Storage Daemon. Añadir a los puntos de descontento con Bacula anteriores indicados en el hilo que si tienes un cliente fuera de tu oficina vas a tener que abrir un puerto en tu firewall porque después de que el Director le diga al Cliente que tiene que empezar a enviar datos, es el Cliente quien abre una conexión hacia el Storage Daemon. Esa última conexión es una pelea con auditores para justificarles abrir un puerto en el firewall. Saludos y gracias.