Avamar:如何验证 CA 签名证书是否已准备好上传到 AUI

Summary: 有关如何验证密钥、证书和链是否匹配的步骤。(Avamar 19.2 及更高版本)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

不正确的证书文件可能会在上传到 AUI 时导致错误。例如,可能会出现以下错误:

"The private key, certificate, and certificate chain are not matched. Please check the files or passphrase."

应采取以下步骤以确保成功上传证书。

验证私钥采用 PKCS1 格式。

  1. 运行: 
head -1 server.key

PKCS1 will return:   -----BEGIN RSA PRIVATE KEY-----

PKCS8 will return:   -----BEGIN PRIVATE KEY-----
  1. 如果格式为 PKCS8,则可以使用以下命令进行转换:
openssl rsa -in server.key -out new_server.key
  1. 验证格式是否已成功转换:
head -1 new_server.key

提醒:如果您已通过 PKCS8 密钥格式创建证书签名请求 (CSR), 请勿重新生成 CSR 或获取新的 CA 签名证书。这些仍然有效,但是在将私钥上传到 AUI 时,请以 PKCS1 格式上传new_server.key。

验证私钥、证书和证书链是否匹配。
  1. 通过生成 md5 总和并比较这两个值,检查私钥和 CA 签名证书是否匹配。
openssl rsa -noout -modulus -in server.key | openssl md5

(stdin)= 59d33f669431501ecca48334481be935

openssl x509 -noout -modulus -in certificate.cer | openssl md5

(stdin)= 59d33f669431501ecca48334481be935
  1. 验证链证书是否与 CA 签名的证书匹配:
openssl verify -CAfile chain.crt certificate.cer
certificate.cer: OK


如果证书文件不匹配的错误更多,请查看以下日志文件并根据需要联系 戴尔支持

/usr/local/avamar/var/mc/server_log/cert-management-api.log

 

提醒:如果任何证书文件或链采用 PKCS7 格式(扩展名 .p7b),请使用以下命令将文件转换为 PEM 格式:
  
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
Article Properties
Article Number: 000185151
Article Type: How To
Last Modified: 24 Sept 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.