RecoverPoint for Virtual Machines : Le certificat multichaîne personnalisé entraîne l’échec des mises à jour du magasin de confiance

Recherchez les erreurs suivantes "addCertificateAuthority" Dans installationLogs/server.log:

at com.sun.xml.ws.client.sei.SEIStub.invoke(SEIStub.java:131) ~[jaxws-rt-2.3.3.jar:2.3.3] at com.sun.proxy.$Proxy560.addCertificateAuthority(Unknown Source) ~[?:?] 
at com.kashya.installation.server.commands.global.AddCertificateAuthorityWorker.callWebServiceInternal(AddCertificateAuthorityWorker.java:20) ~[classes/:?] 
at com.kashya.installation.server.infocollect.ClientWorker.execute(ClientWorker.java:220) ~[classes/:?]

Contournement:
Il existe trois solutions de contournement possibles :

Contournement #1 :
Utilisez un certificat auto-signé, au lieu d’un certificat personnalisé. Vous trouverez plus d’informations dans le Guide de configuration de la sécurité de RecoverPoint for Virtual Machines.

• Ajoutez un certificat vCenter côté RecoverPoint :
  1. Ajoutez manuellement le nouveau certificat VC au format base64 (certificat CA uniquement) sous Magasin de confiance de RPA.
  2. Connectez-vous au menu d’administration.
  3. Accédez à Options.

[2] Setup > [8] Advanced options > [2] Security options > [2] Certificates management > [2] Truststore management > [2] Add trusted certificate

​​​​​

4. Ajoutez le certificat CA au magasin de confiance de la RPA.
   Vous devez ouvrir le certificat dans une vue lisible et copier l’intégralité du certificat, y compris :
   -----BEGIN CERTIFICATE REQUEST-----
To
-----END CERTIFICATE REQUEST-----
   Collez-le dans PuTTY, puis ajoutez un # dans une nouvelle ligne et appuyez sur Entrée.
5. Exécutez la commande à partir de l’interface CLI du système RPA.

update_vcenter_server_registration -f

Solution de contournement #2 :
utilisez temporairement le certificat par défaut ou un certificat auto-signé à l’aide de la procédure ci-dessous pour mettre à jour les tailles de MTU. Ensuite, après avoir confirmé que la modification MTU est propagée à toutes les RPA, réinstallez le certificat personnalisé. Vous trouverez ci-dessous les étapes à suivre pour mettre à jour le certificat Web et la configuration MTU :

A. Mettre à jour le certificat

1. Créez un certificat client :

Openssl req -newkey rsa:2048 -x509 -sha256 -days 365 -nodes -out certificate.pem -keyout privatekey.pem

2. Remplacez le certificat Web de la RPA par un certificat nouvellement créé.

Utilisez un client SSH pour vous connecter à la CLI Boxmgmt vRPA en tant qu’utilisateur = admin. Dans le menu principal, sélectionnez :

Setup > Advanced Options > Security Options > Certificates Management > Keystore Management > Change Web Server Certificate.

3.  Ajoutez un certificat Web au magasin d’approbations.

Utilisez un client SSH pour vous connecter à la CLI Boxmgmt vRPA en tant qu’utilisateur = admin. Dans le menu principal, sélectionnez :

Setup > Advanced Options > Security Options > Certificates Management > Truststore Management > Add trusted certificate

4. Redémarrer le service tomcat sur RPA - systemctl restart tomcat9

B. Mettre à jour les valeurs MTU

1.  Accédez à la RPA SC en tant qu’administrateur et remplacez la valeur MTU par une valeur différente de la MTU actuelle :

[2] Setup --> [1] Modify Settings --> [3] MTU configuration --> [2] configure MTU values

2. Ouvrez une nouvelle session CLI sur la deuxième RPA et vérifiez que la MTU est modifiée (si une session existante vers la deuxième RPA est déjà ouverte, cela ne reflète pas la modification de la MTU, une nouvelle session est requise)

Solution de contournement #3 :

Conservez le certificat personnalisé et mettez à jour manuellement la MTU à chaque RPA.

La procédure détaillée pour la solution de contournement #3 est la suivante.

ssh admin@<RPA IP>

Main Menu **
[1] Installation
[2] Setup
[3] Diagnostics
[4] Cluster operations
[5] Shutdown/Reboot operations
[6] System management CLI
[Q] Quit

Modifiez la configuration MTU :

[2] Setup --> [1] Modify Settings --> [3] MTU configuration --> [2] Configure MTU values

L’utilisateur peut définir la MTU séparément pour chaque lien dans sa configuration réseau.
Une configuration standard aurait un lien distinct pour chacun des éléments LAN, WAN et Données, mais chaque configuration peut avoir plus ou moins de liens.
Pour chaque liaison, modifiez individuellement le paramètre MTU sur la valeur souhaitée (généralement 1 500 ou 9 000).
Après avoir défini une valeur, toutes les valeurs (LAN, WAN, données) sont imprimées, puis l’utilisateur est invité à confirmer l’application de la modification.
Lorsque toutes les valeurs sont correctement définies, entrez 'Q' pour quitter ce menu.
Aucun redémarrage n’est nécessaire pour que les nouveaux paramètres prennent effet.

Répétez l’opération pour chaque RPA du système. Assurez-vous que les mêmes valeurs sont utilisées sur toutes les RPA.


Résolution:
Les ingénieurs Dell Technologies sont actuellement en train d’enquêter sur ce problème. Un correctif permanent est encore en cours d’exécution. Contactez le Centre de support client Dell Technologies ou votre responsable de compte pour obtenir de l’aide et référencer cet ID de solution.