ECS. Как сбросить SSL-сертификат и загрузить новый сертификат, если вставлен неверный сертификат

Summary: Данная статья используется для возврата исходного состояния, предшествовавшего выпуску нового сертификата.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

  1. Вставка неверных или частичных сертификатов может привести к сбою nginx, что препятствует загрузке пользовательского интерфейса ECS. Для этого потребуется сбросить сертификат до уровня самозаверяющего сертификата по умолчанию, который предоставляется вместе с ECS при установке. 

Чтобы проверить это, проанализируйте журналы и определите, есть ли у вас проблема с определением сбоя хранилища ключей как не загружаемого из-за несоответствия:   

Команда.
# tail /opt/emc/caspian/fabric/agent/services/object/main/log/nginx/nginx.log
Пример.

Setting up SSL certificates
nginx: [emerg] SSL_CTX_use_PrivateKey_file("/opt/storageos/conf/storageos.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

 

  1. Даже если nginx работает, вы не сможете подключиться к вышестоящим сервисам. При попытке использовать curl для доступа к ресурсам возникает следующая ошибка.

Команда. (Обратите внимание, что необходимо обновить IP-адрес управления и пароль root до пользовательского интерфейса в команде.)
# TOKEN=$(curl -i -k https://<Management IP>:4443/login -u root:<PASSWORD> | grep X-SDS-AUTH-TOKEN);echo $TOKEN
# curl -ks -H "$TOKEN" https://<Management IP>:4443/object/vdcs/vdc/list
Пример.

admin@node1:~>curl -ks -H "$TOKEN" https://x.x.x.x:4443/object/vdcs/vdc/list
<?xml version="1.0" encoding="UTF-8"?>
<error>
<code>6503</code>
  <description>Unable to connect to the service. The service is unavailable, try again later.</description>
  <details>The service is currently unavailable because a connection failed to a core component. Please contact an administrator or try again later.</details>
<retryable>true</retryable>
</error>

Чтобы загрузить новый сертификат, необходимо иметь возможность использовать curl для доступа к /vdc/keystore, но из-за проблемы, описанной выше, сначала необходимо сбросить пару ключ или сертификат. Если для загрузки нового сертификата необходимо сбросить SSL-сертификат, откройте сервисную заявку в службе технической поддержки, указав ссылку на эту статью базы знаний.
 

ПРИМЕЧАНИЕ.  В рамках исправления необходимо перезапустить службы objcontrolsvc. Служба objcontrolsvc входит в группу с самым низким приоритетом, и перезапуск службы не влияет на внешний интерфейс данных.

Additional Information

Связанные статьи базы знаний:
ECS: Установка SSL-сертификата для доступа к объектному API и графическому интерфейсу
ECSECS: Как сбросить SSL-сертификат и загрузить новый, если был вставлен неверный/частичный сертификат
ECS: SSL-сертификат объектного хранилища заполняется не на всех узлах
ECS: Создание SSL-сертификатов для поддержки альтернативных имен субъектов (SAN)
ECS: Isilon. Проблемы производительности CloudPools

Affected Products

ECS Appliance

Products

ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption
Article Properties
Article Number: 000021087
Article Type: How To
Last Modified: 16 Sept 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.