ECS: Como redefinir um certificado SSL e carregar um novo certificado se um certificado incorreto for inserido

Summary: Este artigo é usado para recuperar o estado inicial anterior à emissão de um novo certificado.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

  1. A inserção de certificados incorretos ou parciais pode fazer com que o nginx falhe, impedindo o carregamento da interface do usuário do ECS. Isso requer uma redefinição do certificado para o certificado autoassinado padrão fornecido com o ECS na instalação. 

Para verificar isso, avalie os logs para determinar se você tem o problema ao identificar o keystore como com falha ao carregar devido a uma incompatibilidade:   

Comando:
# tail /opt/emc/caspian/fabric/agent/services/object/main/log/nginx/nginx.log
Exemplo:

Setting up SSL certificates
nginx: [emerg] SSL_CTX_use_PrivateKey_file("/opt/storageos/conf/storageos.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

 

  1. Mesmo que o nginx esteja funcionando, você não poderá se conectar aos serviços upstream. Você recebe o erro abaixo ao tentar usar curl para acessar recursos.

Comando: (Observe que você deve atualizar o endereço IP de gerenciamento e a senha de root para a interface do usuário no comando)
# TOKEN=$(curl -i -k https://<Management IP>:4443/login -u root:<PASSWORD> | grep X-SDS-AUTH-TOKEN);echo $TOKEN
# curl -ks -H "$TOKEN" https://<Management IP>:4443/object/vdcs/vdc/list
Exemplo:

admin@node1:~>curl -ks -H "$TOKEN" https://x.x.x.x:4443/object/vdcs/vdc/list
<?xml version="1.0" encoding="UTF-8"?>
<error>
<code>6503</code>
  <description>Unable to connect to the service. The service is unavailable, try again later.</description>
  <details>The service is currently unavailable because a connection failed to a core component. Please contact an administrator or try again later.</details>
<retryable>true</retryable>
</error>

Para carregar um novo certificado, você deve ser capaz de usar curl para acessar /vdc/keystore, mas devido ao problema descrito acima, primeiro você precisa redefinir a chave ou o par de certificados. Caso você precise redefinir o certificado SSL para poder carregar um novo, abra um chamado com o suporte técnico fazendo referência a este artigo da KB.
 

Nota:  Os serviços do OBJCONTROLSVC devem ser reiniciados como parte da correção. O serviço objcontrolsvc faz parte do grupo de prioridade mais baixa e reiniciar o serviço não tem impacto sobre o front-end de dados.

Additional Information

KBs relacionados:
ECS: Como instalar o certificado SSL para acesso à API de objeto e GUI
do ECSECS: Como redefinir o certificado SSL e carregar um novo quando o certificado incorreto/parcial tiver sido inserido
ECS: O certificado SSL de armazenamento em objeto não é preenchido em todos os
nósECS: Criação de certificados SSL para dar suporte a nomes alternativos de assunto (SANs)
ECS: Isilon: Problemas de desempenho do CloudPools

Affected Products

ECS Appliance

Products

ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption
Article Properties
Article Number: 000021087
Article Type: How To
Last Modified: 16 Sept 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.