TLS handshake fails

Symptômes

agent: x509: certificate signed by unknown authority

Causes

1. La CA n’est pas approuvée — l’agent ne connaît pas notre CA bundle
2. System time skew — le cert est valide de X à Y, mais l’horloge de l’agent est hors plage
3. SNI mismatch — le cert a été émis pour one.example.com, l’agent se connecte à another.example.com

Solutions

1. unimoni-agent --ca-bundle /etc/ssl/unimoni-ca.crt
2. sudo systemctl restart systemd-timesyncd + vérification timedatectl status
3. Utilisez le hostname du SAN du cert (openssl s_client -connect host:8443 | openssl x509 -noout -text)