Avamar. Dell Cloud Director Data Protection Extension (DPE). Состояние vcpsrv «shutdown» из-за неверного сертификата облака

Summary: DPE. Состояние vcpsrv показывает завершение работы из-за недопустимого сертификата vcloud в доверенном хранилище DPE. Расширение Dell EMC Data Protection — это первое сертифицированное решение для защиты данных для VMware vCloud Director, которое также является встроенным решением для защиты данных. Оно расширяет возможности vCloud Director с интерфейсом HTML 5 и API-интерфейсом REST, предоставляя пользователям единую конечную точку управления для виртуальных центров обработки данных. Пользователи могут управлять резервным копированием виртуальных машин и виртуальных приложений на уровне образов, восстанавливать их на новую виртуальную машину или на месте с помощью политик или специальных возможностей, даже на уровне файлов. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Отключение службы VCP Manager
Служба BG отключена
DPE не удается подключиться к vCloud

Ошибки в журнале VCP Manager: 
/var/log/vcp/vcp-manager.log 
2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path.
        at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301]
        at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]

Cause

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv update <srv-service-name from step 8>
vcp-cli bg update <bg service name from step 8>

Срок действия сертификата истек или он был заменен в облаке, и DPE необходимо импортировать новый сертификат облака.

Resolution

Предварительные условия.  Получите учетные данные для файла хранилища ключей.  DPE всегда генерирует случайный пароль хранилища ключей, поэтому для получения хранилища ключей необходимо использовать команду, приведенную ниже, с главным паролем заказчика.
    
vcp-cli credential list -p <master_password>
Пример вывода: 
# vcp-cli  credential list -p Changeme_1
getting credentials...
Success

credential:
   component: truststore
   url: /etc/vcp/truststore
   username:
   password: ZM1VnGwRZCLFrrNS

Шаг 1
Проверьте текущие сертификаты в доверенном хранилище для сертификата облака, проверьте даты истечения срока действия или посмотрите отпечаток SHA1, чтобы узнать, соответствует ли он текущему сертификату, применяемому к vCloud. 
 # vcp-cli certificate show-trust -a cloud

Пример вывода, показывающий, что старый сертификат vCloud в настоящее время загружен в доверенное хранилище с помощью облака псевдонимов.  
Alias name: cloud
Creation date: Sep 8, 2021
Entry type: trustedCertEntry

[..]
Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022
Certificate fingerprints:
MD5:  B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF
SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8       SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3B
Обратите внимание на отпечаток и дату SHA1:
В данном примере отпечаток следующий: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
В данном примере сертификат действителен до:  Sat Apr 23 09:32:45 EDT 2022

Шаг 2
Используйте новую команду keytool, чтобы установить соединение TLS с облаком и получить отпечаток SHA1.  
# keytool  -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -dates
Пример вывода: 
SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
notBefore=Dec 29 18:59:49 2021 GMT
notAfter=Dec 29 18:59:49 2022 GMT
Если отпечатки или даты не совпадают, необходимо обновить сертификат облака на DPE.

Шаг 3
Создайте копию доверенного хранилища. 
cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp

Шаг 4
Чтобы заменить сертификат в доверенном хранилище DPE, сначала удалите старый сертификат. 
keytool -delete  -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 
Шаг 5
Скачайте текущий сертификат vCloud в новый файл: new_cloud_cert.crt.  
keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crt
Шаг 6
Импортируйте файл сертификата в доверенное хранилище 
keytool -import -file new_cloud_cert.crt -alias cloud  -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

Шаг 7
Повторите команду из шага 1, чтобы подтвердить установку нового сертификата.  
 # vcp-cli certificate show-trust -a cloud

Пример вывода: 
Alias name: cloud 
Creation date: Jul 27, 2022
Entry type: trustedCertEntry

Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
         MD5:  8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
         SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
         SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2
Примечание. 
Дата создания должна быть сегодняшней датой, а дата создания отпечатка SHA1 и сертификата должна быть обновлена. 

Шаг 8
Получите состояние узла, чтобы захватить имена служб для BG и srv.  
vcp-cli node status
Шаг 9
Перезапустите службы.  
systemctl restart vcp-manager.service
sleep 30
vcp-cli srv stop <srv-service-name> -p <master password>
vcp-cli srv start <srv-service-name> -p <master password>
vcp-cli bg stop <bg service name>  -p <master password>
vcp-cli bg start <bg service name> -p <master password>

Шаг 10
Проверьте состояния. 
vcp-cli srv status
vcp-cli bg status

Affected Products

Avamar
Article Properties
Article Number: 000198597
Article Type: Solution
Last Modified: 08 يناير 2026
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.