Connectrix SANnav: Proxytjeneste starter ikke efter udskiftning af SSL-certifikat med CA-signeret

[VMware] root@olsannav.kba.de /opt/sannav/Portal_2.4.0_bld249/bin # sh ./replace-sannav-certificates.sh

Enter the path for the chained CA certificate including the file name (If you have an intermediate certificate chain the same with root and provide the path including file name.) :
/tmp/ca-chain.crt

Enter the path for the private key including the file name :
/tmp/olsannav.kba.de.key

Enter the password for private key (/tmp/olsannav.kba.de.key). If the private key is not password protected, press Enter :

Enter the path for the SSL certificate to be installed on olsannav.kba.de including the file name. Ensure that the Common Name of the certificate matches the FQDN of the host olsannav.kba.de.
/tmp/olsannav.kba.de.crt
No extensions in certificate

Successfully validated the certificate and the private key.
Stopping the SANnav Management Portal server to apply the certificates.
Stopped the SANnav Management Portal server to apply the certificates.
Starting SANnav Management Portal services.
Services have been started.
Waiting and checking for SANnav server to be ready. This may take a few minutes.
[|]
Some services are still not up. Run the script (/opt/sannav/Portal_2.4.0_bld249/bin/check-sannav-status.sh) to check SANnav startup status.
If all services are not up after an additional 15 minutes, run the troubleshooting script (/opt/sannav/Portal_2.4.0_bld249/bin/troubleshooting-sannav.sh) to resolve any reported issues and restart SANnav.

Docker-beholderen til proxytjenesten viser følgende fejl:

/docker-entrypoint.sh: Launching /docker-entrypoint.d/30-tune-worker-processes.sh
/docker-entrypoint.sh: Configuration complete; ready for start up

2025/05/30 11:43:59 [warn] 1#1: the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:1
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:1

2025/05/30 11:43:59 [emerg] 1#1: SSL_CTX_use_PrivateKey("/etc/nginx/sannav-cert.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
nginx: [emerg] SSL_CTX_use_PrivateKey("/etc/nginx/sannav-cert.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

Bekræftet, at det almindelige navn (CN) på CA-certifikatet og SANnav-serversigneret certifikat er det samme:

openssl x509 -in /tmp/olsannav.kba.de.crt -noout -subject
subject=O=KBA, OU=146-SSL-Server, OU=SAN, CN=olsannav.kba.de

[VMware ] root@olsannav.kba.de /opt/sannav # hostname
olsannav.kba.de

Også verificeret certifikaterne:

# openssl rsa -noout -modulus -in olsannav.kba.de.key | openssl md5
MD5(stdin)= 3de4b148f281980ec2e9ad827b7ca257

# openssl x509 -noout -modulus -in olsannav.kba.de.crt | openssl md5
MD5(stdin)= 3de4b148f281980ec2e9ad827b7ca257

# openssl verify -CAfile /tmp/ca-chain.crt /tmp/olsannav.kba.de.crt
/tmp/olsannav.kba.de.crt: OK

Fejlene tyder på, at nøglen kan have en forkert værdi eller være blevet beskyttet med adgangskode på et tidspunkt. I dette tilfælde var certifikatet i det forkerte format. 

Konverter certifikatet fra DER til PEM Formatér og følg instruktionerne nedenfor for at starte proxytjenesten.

1. Start Linux-konsollen til SANnav-serveren .
2. Gå til placeringen <SANnav_Home>/conf/nginx og tag sikkerhedskopien af filen sannav-cert.pem og sannav-cert.Key , og flyt den uden for SANnav-hjemmeadressen.
3. Godkend det originale certifikat og de originale nøgler:
   1. Disse to kommandoer udskriver md5-kontrolsummer for certifikatet og nøglen; Kontrolsummerne kan sammenlignes for at bekræfte, at certifikatet og nøglen matcher:

openssl x509 -noout -modulus -in server.pem | openssl md5

openssl rsa -noout -modulus -in server.key | openssl md5

2. Bekræft certifikatkæden:

openssl verify -CAfile chain.pem server.pem

3. Valider nøgle:

openssl rsa -check -noout -in server.key

4. Kontroller certifikatet og returner oplysninger om det (underskrivelsesmyndighed, udløbsdato osv.):

openssl x509 -in server.pem -noout -text
openssl x509 -in chain.pem -noout -text

4. Kopiér det korrekte certifikat og kæde til lokationen <SANnav_Home>/conf/nginx
   1. I <~location original certificates received from the CA> gøre:

cat <server_cert.pem> <chained_cert.pem> >> sannav-cert.pem

cat <server_key.key> >> sannav-cert.key

2. Kopier <~location original key>/sannav-cert.key <SANnav_Home>/conf/nginx/sannav-cert.key
3. Kopier <~location original pem>/sannav-cert.pem <SANnav_Home>/conf/nginx/sannav-cert.pem

5. Genstart nginx service ved at følge nedenstående trin:
   1. Udfør nedenstående kommandoer for at få proxytjeneste-id'et:

[root@sannav4321 bin]# docker service ls | grep proxy
ypaxcuueqlbb   dcm_2_2_0_proxy

replicated   0/1        10.1xx.4x.8x:5000/proxy-local:sann2.2.0        

2. Skaler proxytjenesten ned ved hjælp af nedenstående kommando:

[root@sannav4321 bin]# docker service scale dcm_2_2_0_proxy=0
ypaxcuueqlbb scaled to 0
overall progress: 0 out of 0 tasks
verify: Service converged

3. Vent 10-15 sekunder, og skaler derefter proxytjenesten op ved hjælp af nedenstående kommando:

[root@sannav4321 bin]# docker service scale dcm_2_2_0_proxy=1
ypaxcuueqlbb scaled to 1
overall progress: 1 out of 1 tasks
1/1: running   [==================================================>]
verify: Service converged

4. Bekræft , om proxytjenesten kører "1/1" eller ej ved hjælp af nedenstående kommando:

[root@sannav4321 bin]# docker service ls | grep proxy
ypaxcuueqlbb   dcm_2_2_0_proxy                                  replicated   1/1        10.155.43.87:5000/proxy-local:sann2.2.0          
[root@sannav4321 bin]#

6. Kontrollér status for SANnav-tjenesterne, om nginx proxy service er oppe at køre eller ej ved hjælp af scriptet check-sannav-status.sh.
7. Kør scriptet replace-sannav-certificates igen, når proxyen er startet, og anvend nøglen, certifikatet og kæden igen for at anvende det korrekte certifikat på KAFKA-beholderen. Følg proceduren fra replace-sannav-certificates script.