Webbgränssnittet för PowerFlex-presentationsservern läses inte in

Summary: Presentationsserverns webbgränssnitt kan inte läsas in på grund av flera SAN-tillägg (Subject Alternative Name) som finns i certifikatet.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Versioner som påverkas

  • PowerFlex 3.5.x
  • PowerFlex 3.6.0.x

Presentationsservertjänsten startar, men webbsidan kan inte läsa in den första inloggningsskärmen. 
[root@host1 .config]# systemctl status mgmt-server.service
● mgmt-server.service - Scaleio MGMT Server
   Loaded: loaded (/etc/systemd/system/mgmt-server.service; enabled; vendor preset: disabled)
   Active: active (running) since Fri 2023-1-09 05:30:03 EST; 11s ago
Main PID: 29700 (java)
   CGroup: /system.slice/mgmt-server.service
    
        └─29700 /bin/java -Xmx4g -Dlog4j2.formatMsgNoLookups=true -Djna.tmpdir=/opt/emc/scaleio/mgmt-server/tmp -Djava.io.tmpdir=/opt/emc/scaleio/mg...
Dec 09 05:30:08 host1 java[29700]: at org.eclipse.jetty.server.AbstractConnector.doStart(AbstractConnector.java:320)
...
Dec 09 05:30:08 host1  java[29700]: at java.lang.Thread.run(Thread.java:750)


Presentationsservern /opt/emc/scaleio/mgmt-server/logs/scaleio.log visar följande fel:

Suppressed: com.google.common.util.concurrent.ServiceManager$FailedService: HttpdService [FAILED]
Caused by: java.lang.IllegalStateException: KeyStores with multiple certificates are not supported on the base class org.eclipse.jetty.util.ssl.SslContextFactory. (Use org.eclipse.jetty.util.ssl.SslContextFactory$Server or org.eclipse.jetty.util.ssl.SslContextFactory$Client instead)
    at org.eclipse.jetty.util.ssl.SslContextFactory.newSniX509ExtendedKeyManager(SslContextFactory.java:1288)
    at org.eclipse.jetty.util.ssl.SslContextFactory.getKeyManagers(SslContextFactory.java:1270)
    at org.eclipse.jetty.util.ssl.SslContextFactory.load(SslContextFactory.java:372)
    at org.eclipse.jetty.util.ssl.SslContextFactory.doStart(SslContextFactory.java:243)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.start(ContainerLifeCycle.java:169)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.doStart(ContainerLifeCycle.java:117)
    at org.eclipse.jetty.server.SslConnectionFactory.doStart(SslConnectionFactory.java:97)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.start(ContainerLifeCycle.java:169)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.doStart(ContainerLifeCycle.java:117)
    at org.eclipse.jetty.server.AbstractConnector.doStart(AbstractConnector.java:321)
    at org.eclipse.jetty.server.AbstractNetworkConnector.doStart(AbstractNetworkConnector.java:81)
    at org.eclipse.jetty.server.ServerConnector.doStart(ServerConnector.java:234)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at org.eclipse.jetty.server.Server.doStart(Server.java:401)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at com.emc.vxflexos.webui.backend.httpd.HttpdService.startUp(HttpdService.java:31)
    at com.google.common.util.concurrent.AbstractIdleService$DelegateService$1.run(AbstractIdleService.java:62)
    at com.google.common.util.concurrent.Callables$4.run(Callables.java:119)
    at java.lang.Thread.run(Thread.java:750)


Kör följande kommando för att kontrollera om presentationsservern använder flera SAN-poster. Detta kan köras mot det certifikat som kunden förnyar eller ersätter som har flera SAN-tilläggsposter.

[root@host1 /]# openssl x509 -noout -text -in  | grep -A1 -i 'Subject Alternative Name'
            X509v3 Subject Alternative Name:
                DNS:host1, DNS:host1.cn

 

Cause

Presentationsservern, även kallad mgmt-server, saknar stöd för hantering av flera SAN-tilläggsposter (Subject Alternative Name). Det här problemet kan uppstå när mgmt-serverns certifikat, med flera SAN-tilläggsposter, förnyas eller ersätts för den berörda versionen.
 

Effekt
Underlåtenhet att läsa in webbgränssnittet för hanteringsservern leder till att det inte går att hantera PowerFlex-klustret via användargränssnittet. Det gör det svårt att hantera PowerFlex-systemet. 

 

Orsaken
Problemet uppstår när Jetty Framework, base class org.loo.jetty.util.ssl.SslContextFactory, försöker bearbeta flera certifikat i en KeyStore. Det här är en åtgärd som den inte är utformad att hantera.
Den berörda versionen av presentationsservern är inte utrustad för att hantera certifikat som innehåller mer än en SAN-tilläggspost (Subject Alternative Name).
Det leder till ett fel när sådana certifikat påträffas. 

Resolution

    Det här problemet är åtgärdat i PowerFlex 3.6.1 och senare.


    Alternativ lösning

    1. Använd ett certifikat som innehåller en SAN-tilläggspost (Subject Alternative Name). Detta överensstämmer med aktuella begränsningar för hanteringsservern. Den bör tillåta normal drift.
    2. Uppgradera hanteringsservern till version 3.6.1. Den här versionen har förbättrat stöd för flera SAN-tilläggsposter och det är inte nödvändigt att justera certifikaten.
    Article Properties
    Article Number: 000215758
    Article Type: Solution
    Last Modified: 14 Sep 2023
    Version:  4
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.