Avamar - wyłączenie vcpsrv status Dell Cloud Director Data Protection Extension (DPE) z powodu nieprawidłowego certyfikatu chmury

Zusammenfassung: DPE: stan vcpsrv pokazuje zatrzymanie z powodu nieprawidłowego certyfikatu vcloud w magazynie zaufania DPE Rozszerzenie ochrony danych Dell EMC to pierwsze certyfikowane rozwiązanie ochrony danych dla VMware vCloud Director, a także natywne rozwiązanie ochrony danych. Rozszerza interfejs użytkownika vCloud Director HTML 5 i interfejs REST API, zapewniając dzierżawcom pojedynczy punkt końcowy zarządzania wirtualnymi centrami danych. Dzierżawcy mogą zarządzać kopiami zapasowymi maszyn wirtualnych i vApp na poziomie obrazu, przywracać je do nowych maszyn wirtualnych lub na miejscu, zgodnie z zasadami lub doraźnie, a nawet przywracać na poziomie plików. ...

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Symptome

Wyłączenie usługi VCP Manager
Usługa BG nie działa
DPE nie może połączyć się z vCloud

Dziennik menedżera VCP pokazuje błędy certyfikatów: 
/var/log/vcp/vcp-manager.log 
2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path.
        at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301]
        at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]

Ursache

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv update <srv-service-name from step 8>
vcp-cli bg update <bg service name from step 8>

Certyfikat wygasł lub został wymieniony w chmurze, a DPE wymaga importowania nowego certyfikatu chmury.

Lösung

Warunki wstępne:  Uzyskach poświadczenia dla pliku magazynu kluczy.  DPE zawsze generuje magazyn kluczy z losowym hasłem, więc do uzyskania magazynu kluczy należy użyć poniższego polecenia z hasłem głównym klienta.
    
vcp-cli credential list -p <master_password>
przykładowe dane wyjściowe 
# vcp-cli  credential list -p Changeme_1
getting credentials...
Success

credential:
   component: truststore
   url: /etc/vcp/truststore
   username:
   password: ZM1VnGwRZCLFrrNS

Krok 1
Sprawdź bieżące certyfikaty w magazynie zaufania dla certyfikatu chmury, patrząc na daty pod kątem wygaśnięcia lub na odcisk palca SHA1 pod kątem zgodności z bieżącym certyfikatem zastosowanym do chmury vcloud 
 # vcp-cli certificate show-trust -a cloud

Przykładowe dane wyjściowe pokazujące, że stary certyfikat vCloud jest aktualnie wczytywany do magazynu zaufania przy użyciu chmury aliasów  
Alias name: cloud
Creation date: Sep 8, 2021
Entry type: trustedCertEntry

[..]
Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022
Certificate fingerprints:
MD5:  B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF
SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8       SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3B
Zwróć uwagę na odcisk palca SHA1 i daty:
W tym przykładzie odcisk palca to: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
W tym przykładzie certyfikat jest ważny do:  Sat Apr 23 09:32:45 EDT 2022

Krok 2
Użyj nowego polecenia keytool, aby utworzyć połączenie TLS z chmurą i uzyskać odcisk palca SHA1  
# keytool  -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -dates
Przykładowe dane wyjściowe 
SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
notBefore=Dec 29 18:59:49 2021 GMT
notAfter=Dec 29 18:59:49 2022 GMT
Jeśli odciski palców lub daty są niezgodne, należy zaktualizować certyfikat chmury w DPE.

Krok 3
Utwórz kopię magazynu zaufania. 
cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp

Krok 4
Aby zastąpić certyfikat w magazynie zaufania w DPE, należy najpierw usunąć stary certyfikat. 
keytool -delete  -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 
Krok 5
Pobierz aktualny certyfikat vCloud do nowego pliku: new_cloud_cert.crt.  
keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crt
Krok 6
Importuj plik certyfikatu z magazynu zaufania. 
keytool -import -file new_cloud_cert.crt -alias cloud  -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

Krok 7
Powtórz polecenie od kroku 1, by potwierdzić zainstalowanie nowego certyfikatu.  
 # vcp-cli certificate show-trust -a cloud

Przykładowe dane wyjściowe 
Alias name: cloud 
Creation date: Jul 27, 2022
Entry type: trustedCertEntry

Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
         MD5:  8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
         SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
         SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2
Uwaga: 
Ta data utworzenia powinna być datą dzisiejszą, a daty odcisku palca SHA1 i certyfikatu powinny być zaktualizowane. 

Krok 8
Uzyskaj stan węzła, aby pobrać nazwy usług dla BG i srv.  
vcp-cli node status
Krok 9
Uruchom ponownie usługi.  
systemctl restart vcp-manager.service
sleep 30
vcp-cli srv stop <srv-service-name> -p <master password>
vcp-cli srv start <srv-service-name> -p <master password>
vcp-cli bg stop <bg service name>  -p <master password>
vcp-cli bg start <bg service name> -p <master password>

Krok 10
Sprawdź stany. 
vcp-cli srv status
vcp-cli bg status

Betroffene Produkte

Avamar
Artikeleigenschaften
Artikelnummer: 000198597
Artikeltyp: Solution
Zuletzt geändert: 08 Jan. 2026
Version:  8
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.