<div dir="ltr"><div><div><div>Thanks Stuart.  I see those errors when I run the openssl command against the uiuc library server too.  I get a clean run against the msu library server.<br><br></div>I don't think that I want to have my own custom version of <a href="http://lonnet.pm">lonnet.pm</a>.  It's too hard to keep track of those kinds of changes in the future.  Will this issue go away when I upgrade to the 2.11.2 version of lon-capa? <br><br></div>Thanks,<br></div>Bob Gonzales <br><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 2, 2017 at 9:48 AM,  <span dir="ltr"><<a href="mailto:raeburn@msu.edu" target="_blank">raeburn@msu.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Bob,<br>
<br>
The problem here appears to be the SSL certificate installed on the UIUC library server.  If I run the command:<br>
<br>
openssl s_client  -connect <a href="http://library1.lon-capa.uiuc.edu:443" rel="noreferrer" target="_blank">library1.lon-capa.uiuc.edu:443</a><br>
<br>
The response includes:<br>
<br>
verify error:num=20:unable to get local issuer certificate<br>
verify error:num=27:certificate not trusted<br>
verify error:num=21:unable to verify the first certificate<br>
<br>
Because of this certificate problem you will be unable to view previously unreplicated resources in the uiuc domain on a LON-CAPA server running a Linux distro/version which includes perl-libwww-perl version 6.<br>
<br>
That includes the binghamton LON-CAPA servers, but not the MSU LON-CAPA servers.<br>
<br>
On a server with perl-libwww-perl version 6, you could implement a temporary workaround by modifying the repcopy() routine in /home/httpd/lib/perl/Apache/<a href="http://lonnet.pm" rel="noreferrer" target="_blank">lo<wbr>nnet.pm</a> to include this line:<br>
<br>
$ua->ssl_opts( verify_hostname => 0 );<br>
<br>
and then reload Apache.<span><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Is is somehow related to the ssl request on port 443?  I am not running ssl<br>
in the binghamton domain.  However, I can see resources on other domains<br>
(e.g. msu) that are running ssl.<br>
<br>
</blockquote>
<br></span>
Yes, it is related to the fact that the uiuc LON-CAPA library server is using https.<br>
<br>
Other LON-CAPA servers also use https (including <a href="http://educog.com" rel="noreferrer" target="_blank">educog.com</a> and <a href="http://s10.lite.msu.edu" rel="noreferrer" target="_blank">s10.lite.msu.edu</a>), and for those servers the openssl s_client command above does not report any errors, so this issue looks to be specific to the certificate on the uiuc LON-CAPA library server.<br>
<br>
The fact that you do not use Apache/SSL for the binghamton LON-CAPA domain servers is not relevant here.  Although I would encourage you in the longer term to consider using Apache/SSL in the binghamton domain for security reasons.<br>
<br>
<a href="http://letsencrypt.org" rel="noreferrer" target="_blank">letsencrypt.org</a> has an automated process for obtaining SSL certificates to use with the Apache web server, at no cost.<span class="m_-7945380190201761761HOEnZb"><font color="#888888"><br>
<br>
<br>
Stuart Raeburn<br>
LON-CAPA Academic Consortium</font></span><div class="m_-7945380190201761761HOEnZb"><div class="m_-7945380190201761761h5"><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi All,<br>
<br>
I've got a situation where none of my servers can view the actual resources<br>
from the uiuc domain.  They can all browse to any subdirectory and can look<br>
at the metadata for any resource.  But they can't see the contents of a<br>
resource file.  The window that shows the rendered resource does open but<br>
just has the one line "Unable to find SomeFileName.problem"  for problems<br>
and "Sorry! Resource not available." for images in it.<br>
<br>
For each resource that can't be viewed there is a line in lonnet.log like<br>
this:<br>
<br>
LWP get: 500 Can't connect to <a href="http://library1.lon-capa.uiuc.edu:443" rel="noreferrer" target="_blank">library1.lon-capa.uiuc.edu:443</a><wbr>:<br>
/home/httpd/html/res/uiuc/cyer<wbr>kes/Chem_102_/problems/Homewor<wbr>k_4_QDB_8051158<br>
/LandingFieldArrival.jpg<br>
<br>
I had the network IT guy for the university look at the edge firewall logs<br>
and he could see my requests going out but he didn't see any answers coming<br>
back from the uiuc server.  He wasn't 100% sure that he logs everything<br>
coming in though so it's not definitive that they aren't coming back.<br>
Though the message above would lead one to think that uiuc is not replying<br>
or not getting my request.<br>
<br>
I can browse to and see resources in other domains.  I also logged into my<br>
course using a msu access server and was successful viewing uiuc<br>
resources.<br>
<br>
Entries in lonc.log and lond.log show that connections are being made and<br>
the fact that I can browse the subdirectorys says some things are OK.<br>
<br>
Is is somehow related to the ssl request on port 443?  I am not running ssl<br>
in the binghamton domain.  However, I can see resources on other domains<br>
(e.g. msu) that are running ssl.<br>
<br>
Using nmap against <a href="http://library1.lon-capa.uiuc.edu" rel="noreferrer" target="_blank">library1.lon-capa.uiuc.edu</a> shows port 443 open.<br>
<br>
Thanks,<br>
Bob Gonzales<br>
Binghamton University<br>
</blockquote>
<br>
</div></div></blockquote></div><br></div></div></div></div>