RecoverPoint для віртуальних машин: Власний багатоланцевий сертифікат призводить до невдачі оновлень Truststore

Звертайте увагу на такі помилки "addCertificateAuthority" у installationLogs/server.log:

at com.sun.xml.ws.client.sei.SEIStub.invoke(SEIStub.java:131) ~[jaxws-rt-2.3.3.jar:2.3.3] at com.sun.proxy.$Proxy560.addCertificateAuthority(Unknown Source) ~[?:?] 
at com.kashya.installation.server.commands.global.AddCertificateAuthorityWorker.callWebServiceInternal(AddCertificateAuthorityWorker.java:20) ~[classes/:?] 
at com.kashya.installation.server.infocollect.ClientWorker.execute(ClientWorker.java:220) ~[classes/:?]

Обхідний шлях:
Існує три можливі обхідні шляхи:

Обхідний шлях #1:
Використовуйте самопідписаний сертифікат замість власного сертифіката. Деталі можна знайти в Посібнику з конфігурації безпеки RecoverPoint для віртуальних машин.

• Додайте сертифікат vCenter на сторону RecoverPoint:
  1. Ручно додайте новий VC сертифікат у форматі base64 (тільки сертифікат CA) у Trusted Store of RPA.
  2. Увійдіть у меню адміністратора.
  3. Перейдіть у розділ «Опції».

[2] Setup > [8] Advanced options > [2] Security options > [2] Certificates management > [2] Truststore management > [2] Add trusted certificate

​​​​​

4. Додайте сертифікат CA до довіреного сховища RPA.
   Ви повинні відкрити сертифікат у вигляді читабельного вигляду та скопіювати весь сертифікат, включно:
   -----BEGIN CERTIFICATE REQUEST-----
To
-----END CERTIFICATE REQUEST-----
   Вставте це в PuTTY, потім додайте # у новий рядок і натисніть Enter.
5. Запустіть команду з CLI системи RPA.

update_vcenter_server_registration -f

Обхідний шлях #2:
Тимчасово використовуйте стандартний сертифікат або самопідписаний сертифікат за наведеною нижчою процедурою, щоб оновити розміри MTU. Після підтвердження того, що зміна MTU поширилася на всі RPA, перевстановіть власний сертифікат. Нижче наведено кроки для оновлення конфігурації веб-сертифікатів і MTU:

A. Оновлення сертифіката

1. Створіть сертифікат клієнта:

Openssl req -newkey rsa:2048 -x509 -sha256 -days 365 -nodes -out certificate.pem -keyout privatekey.pem

2. Замініть веб-сертифікат RPAs на новостворений.

Використовуйте SSH-клієнт для входу в vRPA Boxmgmt CLI як користувач = адміністратор. У головному меню оберіть:

Setup > Advanced Options > Security Options > Certificates Management > Keystore Management > Change Web Server Certificate.

3.  Додайте веб-сертифікат до Truststore.

Використовуйте SSH-клієнт для входу в vRPA Boxmgmt CLI як користувач = адміністратор. У головному меню оберіть:

Setup > Advanced Options > Security Options > Certificates Management > Truststore Management > Add trusted certificate

4. Перезапустити сервіс Tomcat на RPA - systemctl restart tomcat9

B. Оновлення значень MTU

1.  Отримайте доступ до SC RPA з адміністратором і змініть значення MTU на щось інше, ніж у поточному MTU:

[2] Setup --> [1] Modify Settings --> [3] MTU configuration --> [2] configure MTU values

2. Відкрийте нову сесію CLI на другу RPA і переконайтеся, що MTU змінено (якщо існуюча сесія на другу RPA вже відкрита, це не відображає зміну MTU, потрібна нова сесія)

Обхідний шлях #3:

Зберігайте власний сертифікат і вручну оновлюйте MTU на кожному RPA.

Детальна процедура обхідного шляху #3 виглядає так.

ssh admin@<RPA IP>

Main Menu **
[1] Installation
[2] Setup
[3] Diagnostics
[4] Cluster operations
[5] Shutdown/Reboot operations
[6] System management CLI
[Q] Quit

Змініть конфігурацію MTU:

[2] Setup --> [1] Modify Settings --> [3] MTU configuration --> [2] Configure MTU values

Користувач може встановити MTU окремо для кожного з'єднання у своїй конфігурації
мережі.Типова конфігурація мала б окремий канал для кожного LAN, WAN, Data — але кожна конфігурація може мати більше або менше зв'язків.
Для кожного зв'язку індивідуально змінюйте налаштування MTU на бажане значення (зазвичай 1500 або 9000).
Після встановлення одного значення всі значення будуть надруковані (LAN, WAN, Data), після чого користувача просять підтвердити застосування зміни.
Коли всі значення встановлені правильно, введіть 'Q', щоб вийти з цього меню.
Перезавантаження не потрібне, щоб нові налаштування почали діяти.

Повторюйте це для кожного RPA в системі. Переконайтеся, що однакові значення використовуються на всіх RPA.


Розв'язка:
Інженерна компанія Dell Technologies розслідує це питання. Постійне вирішення ще триває. Зверніться до Центру підтримки клієнтів Dell Technologies або до свого представника для отримання допомоги та зверніться до цього ID рішення.