Avamar – vypnutí stavu vcpsrv rozšíření DPE (Dell Cloud Director Data Protection Extension) z důvodu neplatného certifikátu cloudu

Shrnutí: DPE: Stav vcpsrv se zobrazuje jako shutdown kvůli neplatnému certifikátu vcloud v truststore DPE Dell EMC Data Protection Extension je první certifikované řešení ochrany dat pro VMware vCloud Director, které je také nativním řešením ochrany dat. Rozšiřuje uživatelské rozhraní HTML 5 s ředitelem vCloud a rozhraní REST API poskytuje klientům jednotný koncový bod pro správu jejich virtuálních datových center. Nájemci mohou spravovat zálohy virtuálních počítačů a aplikací na úrovni bitové kopie, obnovit je na nový virtuální počítač nebo na místě, podle zásad nebo adhoc, a dokonce i obnovy na úrovni souboru. ...

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.
Podívejte se na další zdroje

Příznaky

VCP Manager Service shutdown
BG Service down
DPE unable to connect to vCloud

VCP manager log shows cert errors: 
/var/log/vcp/vcp-manager.log 
2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path.
        at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301]
        at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]

Příčina

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv update <srv-service-name from step 8>
vcp-cli bg update <bg service name from step 8>

Platnost certifikátu vypršela nebo byla v cloudu nahrazena a prostředí DPE potřebuje získat nový certifikát cloudu, který byl importován.

Řešení

Přípravné kroky:  Získání přihlašovacích údajů pro soubor úložiště klíčů.  DPE vždy generuje náhodné heslo keystore, takže k získání úložiště klíčů je nutné použít níže uvedené příkazy s hlavním heslem zákazníka.
    
vcp-cli credential list -p <master_password>
příklad výstupu 
# vcp-cli  credential list -p Changeme_1
getting credentials...
Success

credential:
   component: truststore
   url: /etc/vcp/truststore
   username:
   password: ZM1VnGwRZCLFrrNS

Krok 1
Zkontrolujte, zda aktuální certifikáty v truststore odpovídají certifikátu cloudu, podívejte se na data a zjistěte, jestli vypršela platnost, nebo na otisk SHA1, abyste zjistili, jestli odpovídá aktuálnímu certifikátu použitému na vcloud. 
 # vcp-cli certificate show-trust -a cloud

Příklad výstupu, který ukazuje, že se starý certifikát vCloud aktuálně načítá do důvěryhodného úložiště pomocí aliasu cloudu.  
Alias name: cloud
Creation date: Sep 8, 2021
Entry type: trustedCertEntry

[..]
Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022
Certificate fingerprints:
MD5:  B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF
SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8       SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3B
Poznamenejte si otisk a data SHA1:
V tomto příkladu na otisku prstu je: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
V tomto příkladu je certifikát platný do:  Sat Apr 23 09:32:45 EDT 2022

Krok 2
: Pomocí nového příkazu keytool vytvořte připojení TLS ke cloudu a získejte otisk sha1  
# keytool  -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -dates
Příklad výstupu 
SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
notBefore=Dec 29 18:59:49 2021 GMT
notAfter=Dec 29 18:59:49 2022 GMT
Pokud se otisky prstů neshodují nebo se data nevytápí. je třeba aktualizovat certifikát cloudu na DPE.

Krok 3
Vytvoření kopie důvěryhodného úložiště 
cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp

Krok 4
Chcete-li nahradit certifikát v úložišti důvěryhodnosti v DPE, nejprve odstraňte starý certifikát. 
keytool -delete  -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 
Krok 5
Stáhněte si aktuální certifikát vCloud do nového souboru: new_cloud_cert.crt  
keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crt
Krok 6
Importujte soubor certifikátu do úložiště truststore. 
keytool -import -file new_cloud_cert.crt -alias cloud  -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

Krok 7
Opětovnou opakujte příkaz z kroku 1 a ověřte, zda je nainstalován nový certifikát.  
 # vcp-cli certificate show-trust -a cloud

Příklad výstupu 
Alias name: cloud 
Creation date: Jul 27, 2022
Entry type: trustedCertEntry

Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
         MD5:  8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
         SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
         SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2
Poznámka: 
Toto datum vytvoření by mělo být dnes a data otisků prstů SHA1 a certifikátů by měla být aktualizována. 

Krok 8
Získejte stav uzlu, abyste získali názvy služeb pro BG a srv.  
vcp-cli node status
Krok 9
Restartujte služby.  
systemctl restart vcp-manager.service
sleep 30
vcp-cli srv stop <srv-service-name> -p <master password>
vcp-cli srv start <srv-service-name> -p <master password>
vcp-cli bg stop <bg service name>  -p <master password>
vcp-cli bg start <bg service name> -p <master password>

Krok 10
Kontrola stavů 
vcp-cli srv status
vcp-cli bg status

Dotčené produkty

Avamar
Vlastnosti článku
Číslo článku: 000198597
Typ článku: Solution
Poslední úprava: 08 led 2026
Verze:  8
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.