TLS handshake fails

Symptome

agent: x509: certificate signed by unknown authority

Ursachen

1. Die CA wird nicht vertraut — der Agent kennt unser CA-Bundle nicht
2. System Time Skew — das Cert ist von X bis Y gültig, aber die Uhr des Agenten liegt außerhalb des Bereichs
3. SNI-Mismatch — das Cert wurde für one.example.com ausgestellt, der Agent verbindet sich zu another.example.com

Lösungen

1. unimoni-agent --ca-bundle /etc/ssl/unimoni-ca.crt
2. sudo systemctl restart systemd-timesyncd + Prüfung timedatectl status
3. Nutzen Sie den Hostname aus dem Cert-SAN (openssl s_client -connect host:8443 | openssl x509 -noout -text)