Avamar — desligamento do status vcpsrv do Dell Cloud Director Data Protection Extension (DPE) devido a um certificado de nuvem inválido

Summary: DPE: o status do vcpsrv mostra o desligamento devido a um certificado inválido do vcloud no truststore do DPE O Dell EMC Data Protection Extension é a primeira solução de proteção de dados certificada para VMware vCloud Director, que também é uma solução nativa de proteção de dados. Ele estende a IU HTML 5 do vCloud Director e a API REST, fornecendo aos grupos de usuários um endpoint de gerenciamento único para seus datacenters virtuais. Os grupos de usuários podem gerenciar backups em nível de imagem de VMs e vApps, restaurar para uma nova VM ou no local, por política ou adhoc, até mesmo restaurar em nível de arquivo. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Desligamento do serviço VCP Manager
Serviço BG inativo
O DPE não consegue se conectar ao vCloud

O log do VCP Manager mostra erros de certificado: 
/var/log/vcp/vcp-manager.log 
2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path.
        at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301]
        at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]

Cause

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv update <srv-service-name from step 8>
vcp-cli bg update <bg service name from step 8>

O certificado expirou ou foi substituído na nuvem, e o DPE precisa importar o novo certificado da nuvem.

Resolution

Pré-requisitos:  Obter credenciais do arquivo de repositório de chaves.  O DPE sempre gera um repositório de chaves com senha aleatória, assim, temos que usar o comando abaixo com a senha mestre do cliente para obter o repositório de chaves
    
vcp-cli credential list -p <master_password>
exemplo de resultado 
# vcp-cli  credential list -p Changeme_1
getting credentials...
Success

credential:
   component: truststore
   url: /etc/vcp/truststore
   username:
   password: ZM1VnGwRZCLFrrNS

Etapa 1
Verifique os certificados atuais no truststore do certificado de nuvem, analisando as datas para ver se expiraram ou a impressão digital SHA1 para ver se corresponde ao certificado atual aplicado ao VCloud 
 # vcp-cli certificate show-trust -a cloud

Exemplo de resultado que mostra que o certificado antigo do vCloud está atualmente carregado no truststore usando a nuvem de alias  
Alias name: cloud
Creation date: Sep 8, 2021
Entry type: trustedCertEntry

[..]
Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022
Certificate fingerprints:
MD5:  B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF
SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8       SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3B
Anote a impressão digital SHA1 e as datas:
Neste exemplo, a impressão digital é: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
Neste exemplo, o certificado é válido até:  Sat Apr 23 09:32:45 EDT 2022

Etapa 2
Use o novo comando keytool para fazer uma conexão TLS com a nuvem e obter a impressão digital SHA1  
# keytool  -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -dates
Exemplo de resultado 
SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
notBefore=Dec 29 18:59:49 2021 GMT
notAfter=Dec 29 18:59:49 2022 GMT
Se as impressões digitais ou as datas não corresponderem, você precisará atualizar o certificado de nuvem no DPE.

Etapa 3
Faça uma cópia do truststore 
cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp

Etapa 4
Para substituir o certificado no truststore no DPE, primeiro exclua o certificado antigo 
keytool -delete  -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 
Etapa 5
Faça download do certificado vCloud atual para um novo arquivo: new_cloud_cert.crt  
keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crt
Etapa 6
Importe o arquivo de certificado para o truststore 
keytool -import -file new_cloud_cert.crt -alias cloud  -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

Etapa 7
Repita o comando da etapa 1 novamente para confirmar se o novo certificado está instalado  
 # vcp-cli certificate show-trust -a cloud

Exemplo de resultado 
Alias name: cloud 
Creation date: Jul 27, 2022
Entry type: trustedCertEntry

Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
         MD5:  8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
         SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
         SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2
Nota: 
Essa data de criação deve ser a data de hoje, e as datas de impressão digital e do certificado SHA1 devem ser atualizadas. 

Etapa 8
Obtenha o status do nó para obter os nomes de serviço do BG e srv  
vcp-cli node status
Etapa 9
Reinicie os serviços  
systemctl restart vcp-manager.service
sleep 30
vcp-cli srv stop <srv-service-name> -p <master password>
vcp-cli srv start <srv-service-name> -p <master password>
vcp-cli bg stop <bg service name>  -p <master password>
vcp-cli bg start <bg service name> -p <master password>

Etapa 10
Verifique os status 
vcp-cli srv status
vcp-cli bg status

Affected Products

Avamar
Article Properties
Article Number: 000198597
Article Type: Solution
Last Modified: 08 يناير 2026
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.