PowerFlex 프레젠테이션 서버의 웹 UI가 로드되지 않습니다.

영향을 받는 버전

• PowerFlex 3.5.x
• PowerFlex 3.6.0.x

[root@host1 .config]# systemctl status mgmt-server.service
● mgmt-server.service - Scaleio MGMT Server
   Loaded: loaded (/etc/systemd/system/mgmt-server.service; enabled; vendor preset: disabled)
   Active: active (running) since Fri 2023-1-09 05:30:03 EST; 11s ago
Main PID: 29700 (java)
   CGroup: /system.slice/mgmt-server.service
    
        └─29700 /bin/java -Xmx4g -Dlog4j2.formatMsgNoLookups=true -Djna.tmpdir=/opt/emc/scaleio/mgmt-server/tmp -Djava.io.tmpdir=/opt/emc/scaleio/mg...
Dec 09 05:30:08 host1 java[29700]: at org.eclipse.jetty.server.AbstractConnector.doStart(AbstractConnector.java:320)
...
Dec 09 05:30:08 host1  java[29700]: at java.lang.Thread.run(Thread.java:750)

프레젠테이션 서버 /opt/emc/scaleio/mgmt-server/logs/scaleio.log 에는 다음과 같은 오류가 표시됩니다.

Suppressed: com.google.common.util.concurrent.ServiceManager$FailedService: HttpdService [FAILED]
Caused by: java.lang.IllegalStateException: KeyStores with multiple certificates are not supported on the base class org.eclipse.jetty.util.ssl.SslContextFactory. (Use org.eclipse.jetty.util.ssl.SslContextFactory$Server or org.eclipse.jetty.util.ssl.SslContextFactory$Client instead)
    at org.eclipse.jetty.util.ssl.SslContextFactory.newSniX509ExtendedKeyManager(SslContextFactory.java:1288)
    at org.eclipse.jetty.util.ssl.SslContextFactory.getKeyManagers(SslContextFactory.java:1270)
    at org.eclipse.jetty.util.ssl.SslContextFactory.load(SslContextFactory.java:372)
    at org.eclipse.jetty.util.ssl.SslContextFactory.doStart(SslContextFactory.java:243)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.start(ContainerLifeCycle.java:169)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.doStart(ContainerLifeCycle.java:117)
    at org.eclipse.jetty.server.SslConnectionFactory.doStart(SslConnectionFactory.java:97)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.start(ContainerLifeCycle.java:169)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.doStart(ContainerLifeCycle.java:117)
    at org.eclipse.jetty.server.AbstractConnector.doStart(AbstractConnector.java:321)
    at org.eclipse.jetty.server.AbstractNetworkConnector.doStart(AbstractNetworkConnector.java:81)
    at org.eclipse.jetty.server.ServerConnector.doStart(ServerConnector.java:234)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at org.eclipse.jetty.server.Server.doStart(Server.java:401)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at com.emc.vxflexos.webui.backend.httpd.HttpdService.startUp(HttpdService.java:31)
    at com.google.common.util.concurrent.AbstractIdleService$DelegateService$1.run(AbstractIdleService.java:62)
    at com.google.common.util.concurrent.Callables$4.run(Callables.java:119)
    at java.lang.Thread.run(Thread.java:750)

다음 명령을 실행하여 프레젠테이션 서버가 여러 SAN 항목을 사용하는지 확인합니다. 이 옵션은 고객이 갱신하거나 여러 SAN 확장 항목이 있는 인증서를 교체할 때 실행할 수 있습니다.

[root@host1 /]# openssl x509 -noout -text -in  | grep -A1 -i 'Subject Alternative Name'
            X509v3 Subject Alternative Name:
                DNS:host1, DNS:host1.cn

영향
관리 서버의 웹 UI를 로드하지 않으면 UI(User Interface)를 통해 PowerFlex 클러스터를 관리할 수 없게 됩니다. 따라서 PowerFlex 시스템을 관리하기가 어렵습니다. 

근본 원인
이 문제는 Base class org.eclipse.jetty.util.ssl.SslContextFactory가 KeyStore에서 여러 인증서를 처리하려고 할 때 발생합니다. 이는 처리하도록 설계되지 않은 작업입니다.
영향을 받는 프레젠테이션 서버 버전에는 두 개 이상의 SAN(Subject Alternative Name) 확장 항목이 포함된 인증서를 관리할 수 없습니다.
이로 인해 이러한 인증서가 발생하면 장애가 발생합니다. 

이 동작은 PowerFlex 3.6.1 이상에서 수정되었습니다.

해결 방법

1. 단일 SAN(Subject Alternative Name) 확장 항목이 포함된 인증서를 사용합니다. 이는 mgmt-server의 현재 제한 사항과 일치합니다. 정상 작동을 허용해야 합니다.
2. mgmt-server를 버전 3.6.1로 업그레이드합니다. 이 버전에는 여러 SAN 확장 항목에 대한 향상된 지원이 포함되어 있으며 인증서를 조정할 필요는 없습니다.