Avamar – Dell Cloud Director Data Protection Extension (DPE) – VCPSRV-Status wird aufgrund eines ungültigen Cloud-Zertifikats heruntergefahren
Zusammenfassung: DPE: Der VCPSRV-Status zeigt das Herunterfahren aufgrund eines ungültigen vCloud-Zertifikats im DPE-Truststore an. Die Dell EMC Data Protection Extension ist die erste zertifizierte Data-Protection-Lösung für VMware vCloud Director, die auch eine native Data-Protection-Lösung ist. Sie erweitert die HTML-5-Benutzeroberfläche von vCloud Director und die REST API, sodass Mandanten einen einzigen Managementendpunkt für ihre virtuellen Rechenzentren erhalten. Mandanten können Backups von VMs und vApps auf Image-Ebene managen, auf einer neuen VM oder vor Ort sowie nach Policy oder ad-hoc und sogar auf Dateiebene wiederherstellen. ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
VCP Manager-Service heruntergefahren
BG-Service inaktiv
DPE kann keine Verbindung zur vCloud herstellen
VCP Manager-Protokoll zeigt Zertifikatfehler an:
BG-Service inaktiv
DPE kann keine Verbindung zur vCloud herstellen
VCP Manager-Protokoll zeigt Zertifikatfehler an:
/var/log/vcp/vcp-manager.log
2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path. at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301] at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]
Ursache
systemctl restart vcp-manager.service sleep 30 vcp-cli srv update <srv-service-name from step 8> vcp-cli bg update <bg service name from step 8>
Das Zertifikat war abgelaufen oder wurde in der Cloud ersetzt und das DPE muss das neue Cloudzertifikat importieren.
Lösung
Voraussetzungen: Rufen Sie die Zugangsdaten für die Keystore-Datei ab. DPE erzeugt immer zufällige Passwort-Keystores, sodass der folgende Befehl mit dem Masterkennwort der Kundin/des Kunden verwendet werden muss, um den Keystore zu erhalten.
Schritt 1
Überprüfen Sie die aktuellen Zertifikate im Truststore für das Cloudzertifikat, überprüfen Sie die Daten, um festzustellen, ob es abgelaufen ist, oder prüfen Sie den SHA1-Fingerabdruck, um festzustellen, ob er mit dem aktuellen Zertifikat übereinstimmt, das auf die vCloud angewendet wird.
Beispielausgabe, die zeigt, dass das alte vCloud-Zertifikat derzeit mithilfe der Alias-Cloud im Truststore geladen ist
In diesem Beispiel ist der Fingerabdruck: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
In diesem Beispiel gilt das Zertifikat bis: Samstag, 23. April 2022, 09:32:45 EDT 2022
Schritt 2
Verwenden Sie den Befehl „new keytool“, um eine TLS-Verbindung zur Cloud herzustellen und den SHA1-Fingerabdruck zu erhalten.
Schritt 3
Erstellen einer Kopie des Truststore.
Schritt 4
Um das Zertifikat im Truststore auf DPE zu ersetzen, löschen Sie zunächst das alte Zertifikat.
Laden Sie das aktuelle vCloud-Zertifikat in eine neue Datei herunter: new_cloud_cert.crt.
Importieren Sie die Zertifikatdatei in den Truststore.
Schritt 7
Wiederholen Sie den Befehl aus Schritt 1 erneut, um zu bestätigen, dass das neue Zertifikat installiert ist.
Beispielausgabe:
Dieses Erstellungsdatum sollte das heutige Datum sein und der SHA1-Fingerabdruck und das Zertifikatdatum sollten aktualisiert werden.
Schritt 8
Rufen Sie den Node-Status ab, um die Servicenamen für BG und SRV zu erfassen.
Starten Sie die Services neu.
Schritt 10
Überprüfen Sie den Status.
vcp-cli credential list -p <master_password>Beispielausgabe:
# vcp-cli credential list -p Changeme_1 getting credentials... Success credential: component: truststore url: /etc/vcp/truststore username: password: ZM1VnGwRZCLFrrNS
Schritt 1
Überprüfen Sie die aktuellen Zertifikate im Truststore für das Cloudzertifikat, überprüfen Sie die Daten, um festzustellen, ob es abgelaufen ist, oder prüfen Sie den SHA1-Fingerabdruck, um festzustellen, ob er mit dem aktuellen Zertifikat übereinstimmt, das auf die vCloud angewendet wird.
# vcp-cli certificate show-trust -a cloud
Beispielausgabe, die zeigt, dass das alte vCloud-Zertifikat derzeit mithilfe der Alias-Cloud im Truststore geladen ist
Alias name: cloud Creation date: Sep 8, 2021 Entry type: trustedCertEntry [..] Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022 Certificate fingerprints: MD5: B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8 SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3BNotieren Sie sich den SHA1-Fingerabdruck und die Daten:
In diesem Beispiel ist der Fingerabdruck: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
In diesem Beispiel gilt das Zertifikat bis: Samstag, 23. April 2022, 09:32:45 EDT 2022
Schritt 2
Verwenden Sie den Befehl „new keytool“, um eine TLS-Verbindung zur Cloud herzustellen und den SHA1-Fingerabdruck zu erhalten.
# keytool -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -datesBeispielausgabe:
SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4 notBefore=Dec 29 18:59:49 2021 GMT notAfter=Dec 29 18:59:49 2022 GMTWenn die Fingerabdrücke nicht übereinstimmen oder die Daten nicht vorhanden sind. müssen Sie das Cloudzertifikat auf dem DPE aktualisieren.
Schritt 3
Erstellen einer Kopie des Truststore.
cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp
Schritt 4
Um das Zertifikat im Truststore auf DPE zu ersetzen, löschen Sie zunächst das alte Zertifikat.
keytool -delete -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase>Schritt 5
Laden Sie das aktuelle vCloud-Zertifikat in eine neue Datei herunter: new_cloud_cert.crt.
keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crtSchritt 6
Importieren Sie die Zertifikatdatei in den Truststore.
keytool -import -file new_cloud_cert.crt -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase>
Schritt 7
Wiederholen Sie den Befehl aus Schritt 1 erneut, um zu bestätigen, dass das neue Zertifikat installiert ist.
# vcp-cli certificate show-trust -a cloud
Beispielausgabe:
Alias name: cloud
Creation date: Jul 27, 2022
Entry type: trustedCertEntry
Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
MD5: 8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2
Hinweis:
Dieses Erstellungsdatum sollte das heutige Datum sein und der SHA1-Fingerabdruck und das Zertifikatdatum sollten aktualisiert werden.
Schritt 8
Rufen Sie den Node-Status ab, um die Servicenamen für BG und SRV zu erfassen.
vcp-cli node statusSchritt 9
Starten Sie die Services neu.
systemctl restart vcp-manager.service sleep 30 vcp-cli srv stop <srv-service-name> -p <master password> vcp-cli srv start <srv-service-name> -p <master password> vcp-cli bg stop <bg service name> -p <master password> vcp-cli bg start <bg service name> -p <master password>
Schritt 10
Überprüfen Sie den Status.
vcp-cli srv status vcp-cli bg status
Betroffene Produkte
AvamarArtikeleigenschaften
Artikelnummer: 000198597
Artikeltyp: Solution
Zuletzt geändert: 08 Jan. 2026
Version: 8
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.