Connectrix SANnav: Proxydienst startet nicht, nachdem das SSL-Zertifikat durch eine von einer Zertifizierungsstelle signiert ersetzt wurde

Zusammenfassung: Der Proxy-Service wird nach dem Ersetzen des SSL-Zertifikats durch eine von einer Zertifizierungsstelle signierte Instanz nicht gestartet.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Symptome

[VMware] root@olsannav.kba.de /opt/sannav/Portal_2.4.0_bld249/bin # sh ./replace-sannav-certificates.sh

Enter the path for the chained CA certificate including the file name (If you have an intermediate certificate chain the same with root and provide the path including file name.) :
/tmp/ca-chain.crt

Enter the path for the private key including the file name :
/tmp/olsannav.kba.de.key

Enter the password for private key (/tmp/olsannav.kba.de.key). If the private key is not password protected, press Enter :

Enter the path for the SSL certificate to be installed on olsannav.kba.de including the file name. Ensure that the Common Name of the certificate matches the FQDN of the host olsannav.kba.de.
/tmp/olsannav.kba.de.crt
No extensions in certificate

Successfully validated the certificate and the private key.
Stopping the SANnav Management Portal server to apply the certificates.
Stopped the SANnav Management Portal server to apply the certificates.
Starting SANnav Management Portal services.
Services have been started.
Waiting and checking for SANnav server to be ready. This may take a few minutes.
[|]
Some services are still not up. Run the script (/opt/sannav/Portal_2.4.0_bld249/bin/check-sannav-status.sh) to check SANnav startup status.
If all services are not up after an additional 15 minutes, run the troubleshooting script (/opt/sannav/Portal_2.4.0_bld249/bin/troubleshooting-sannav.sh) to resolve any reported issues and restart SANnav.

Der Docker-Container für den Proxy-Service zeigt den folgenden Fehler an:

/docker-entrypoint.sh: Launching /docker-entrypoint.d/30-tune-worker-processes.sh
/docker-entrypoint.sh: Configuration complete; ready for start up

2025/05/30 11:43:59 [warn] 1#1: the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:1
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:1

2025/05/30 11:43:59 [emerg] 1#1: SSL_CTX_use_PrivateKey("/etc/nginx/sannav-cert.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
nginx: [emerg] SSL_CTX_use_PrivateKey("/etc/nginx/sannav-cert.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

Es wurde verifiziert, dass der Common Name (CN) des CA-Zertifikats und des vom SANnav-Server signierten Zertifikats identisch sind:

openssl x509 -in /tmp/olsannav.kba.de.crt -noout -subject
subject=O=KBA, OU=146-SSL-Server, OU=SAN, CN=olsannav.kba.de

[VMware ] root@olsannav.kba.de /opt/sannav # hostname
olsannav.kba.de

Überprüfte auch die Zertifikate:

# openssl rsa -noout -modulus -in olsannav.kba.de.key | openssl md5
MD5(stdin)= 3de4b148f281980ec2e9ad827b7ca257

# openssl x509 -noout -modulus -in olsannav.kba.de.crt | openssl md5
MD5(stdin)= 3de4b148f281980ec2e9ad827b7ca257

# openssl verify -CAfile /tmp/ca-chain.crt /tmp/olsannav.kba.de.crt
/tmp/olsannav.kba.de.crt: OK

Ursache

Die Fehler deuten darauf hin, dass der Schlüssel möglicherweise einen falschen Wert aufweist oder zu einem bestimmten Zeitpunkt kennwortgeschützt war. In diesem Fall hatte das Zertifikat das falsche Format. 

Lösung

Konvertieren Sie das Zertifikat von DER an PEM formatieren und befolgen Sie die nachstehenden Anweisungen, um den Proxy-Service zu starten.

  1. Starten Sie die Linux-Konsole zum SANnav-Server .
  2. Zum Standort <SANnav_Home>/conf/nginx und erstellen Sie die Sicherungskopie der Datei sannav-cert.pem und sannav-cert.Key und verschieben Sie es außerhalb des SANnav-Startspeicherorts.
  3. Validieren Sie das ursprüngliche Zertifikat und die Schlüssel:
    1. Diese beiden Befehle geben md5-Prüfsummen des Zertifikats und des Schlüssels aus. Die Prüfsummen können verglichen werden, um die Übereinstimmung von Zertifikat und Schlüssel zu überprüfen:
openssl x509 -noout -modulus -in server.pem | openssl md5

openssl rsa -noout -modulus -in server.key | openssl md5
  1. Überprüfen Sie die Zertifikatkette :
openssl verify -CAfile chain.pem server.pem
  1. Schlüssel validieren :
openssl rsa -check -noout -in server.key
  1. Überprüfen Sie das Zertifikat und geben Sie Informationen darüber zurück (Zeichnungsberechtigung, Ablaufdatum usw.):
openssl x509 -in server.pem -noout -text
openssl x509 -in chain.pem -noout -text
  1. Kopieren Sie das richtige Zertifikat und eine Kette an den Speicherort <SANnav_Home>/conf/nginx
    1. In <~location original certificates received from the CA> tun:
cat <server_cert.pem> <chained_cert.pem> >> sannav-cert.pem

cat <server_key.key> >> sannav-cert.key
  1. Kopieren Sie <~location original key>/sannav-cert.key <SANnav_Home>/conf/nginx/sannav-cert.key
  2. Kopieren Sie <~location original pem>/sannav-cert.pem <SANnav_Home>/conf/nginx/sannav-cert.pem
  1. Starten Sie den nginx service Führen Sie die folgenden Schritte aus:
    1. Führen Sie die folgenden Befehle aus, um die Proxyservice-ID abzurufen:
[root@sannav4321 bin]# docker service ls | grep proxy
ypaxcuueqlbb   dcm_2_2_0_proxy

replicated   0/1        10.1xx.4x.8x:5000/proxy-local:sann2.2.0        
  1. Skalieren Sie den Proxydienst mithilfe des folgenden Befehls herunter:
[root@sannav4321 bin]# docker service scale dcm_2_2_0_proxy=0
ypaxcuueqlbb scaled to 0
overall progress: 0 out of 0 tasks
verify: Service converged
  1. Warten Sie 10 bis 15 Sekunden und skalieren Sie dann den Proxydienst mithilfe des folgenden Befehls:
[root@sannav4321 bin]# docker service scale dcm_2_2_0_proxy=1
ypaxcuueqlbb scaled to 1
overall progress: 1 out of 1 tasks
1/1: running   [==================================================>]
verify: Service converged
  1. Überprüfen Sie mit dem folgenden Befehl, ob der Proxy-Service "1/1" ausgeführt wird:
[root@sannav4321 bin]# docker service ls | grep proxy
ypaxcuueqlbb   dcm_2_2_0_proxy                                  replicated   1/1        10.155.43.87:5000/proxy-local:sann2.2.0          
[root@sannav4321 bin]#
  1. Überprüfen Sie den Status der SANnav-Services, ob die nginx proxy service ausgeführt wird oder nicht, indem das Skript verwendet wird check-sannav-status.sh.
  2. Führen Sie das Skript aus: replace-sannav-certificates erneut, nachdem der Proxy gestartet wurde, und wenden Sie den Schlüssel, das Zertifikat und die Kette erneut an, um das richtige Zertifikat auf den KAFKA-Container anzuwenden. Befolgen Sie das Verfahren aus dem replace-sannav-certificates Skript.

Produkte

Connectrix SANnav
Artikeleigenschaften
Artikelnummer: 000340227
Artikeltyp: Solution
Zuletzt geändert: 23 Mai 2026
Version:  3
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.