PowerFlex 3.X: Presentation ServerのWeb UIのロードに失敗する

Summary: 証明書に複数のサブジェクト代替名(SAN)拡張子が存在するため、Presentation ServerのWeb UIの読み込みに失敗します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

プレゼンテーション サーバー サービスは開始されますが、Webページが初期ログイン画面をロードできません。

[root@host1 .config]# systemctl status mgmt-server.service

● mgmt-server.service - Scaleio MGMT Server
   Loaded: loaded (/etc/systemd/system/mgmt-server.service; enabled; vendor preset: disabled)
   Active: active (running) since Fri 2023-1-09 05:30:03 EST; 11s ago
Main PID: 29700 (java)
   CGroup: /system.slice/mgmt-server.service
    
        └─29700 /bin/java -Xmx4g -Dlog4j2.formatMsgNoLookups=true -Djna.tmpdir=/opt/emc/scaleio/mgmt-server/tmp -Djava.io.tmpdir=/opt/emc/scaleio/mg...
Dec 09 05:30:08 host1 java[29700]: at org.eclipse.jetty.server.AbstractConnector.doStart(AbstractConnector.java:320)
...
Dec 09 05:30:08 host1  java[29700]: at java.lang.Thread.run(Thread.java:750)

プレゼンテーション サーバー ログには、次のエラーが表示されます。

/opt/emc/scaleio/mgmt-server/logs/scaleio.log:

Suppressed: com.google.common.util.concurrent.ServiceManager$FailedService: HttpdService [FAILED]
Caused by: java.lang.IllegalStateException: KeyStores with multiple certificates are not supported on the base class org.eclipse.jetty.util.ssl.SslContextFactory. (Use org.eclipse.jetty.util.ssl.SslContextFactory$Server or org.eclipse.jetty.util.ssl.SslContextFactory$Client instead)
    at org.eclipse.jetty.util.ssl.SslContextFactory.newSniX509ExtendedKeyManager(SslContextFactory.java:1288)
    at org.eclipse.jetty.util.ssl.SslContextFactory.getKeyManagers(SslContextFactory.java:1270)
    at org.eclipse.jetty.util.ssl.SslContextFactory.load(SslContextFactory.java:372)
    at org.eclipse.jetty.util.ssl.SslContextFactory.doStart(SslContextFactory.java:243)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.start(ContainerLifeCycle.java:169)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.doStart(ContainerLifeCycle.java:117)
    at org.eclipse.jetty.server.SslConnectionFactory.doStart(SslConnectionFactory.java:97)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.start(ContainerLifeCycle.java:169)
    at org.eclipse.jetty.util.component.ContainerLifeCycle.doStart(ContainerLifeCycle.java:117)
    at org.eclipse.jetty.server.AbstractConnector.doStart(AbstractConnector.java:321)
    at org.eclipse.jetty.server.AbstractNetworkConnector.doStart(AbstractNetworkConnector.java:81)
    at org.eclipse.jetty.server.ServerConnector.doStart(ServerConnector.java:234)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at org.eclipse.jetty.server.Server.doStart(Server.java:401)
    at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73)
    at com.emc.vxflexos.webui.backend.httpd.HttpdService.startUp(HttpdService.java:31)
    at com.google.common.util.concurrent.AbstractIdleService$DelegateService$1.run(AbstractIdleService.java:62)
    at com.google.common.util.concurrent.Callables$4.run(Callables.java:119)
    at java.lang.Thread.run(Thread.java:750)

次のコマンドを実行して、プレゼンテーション サーバーが複数のSANエントリーを使用しているかどうかを確認します。これは、複数のSAN拡張エントリーを持つ、お客様が更新または交換しようとしている証明書に対して実行できます。

[root@host1 /]# openssl x509 -noout -text -in <location_of_new_signed_cert> | grep -A1 -i 'Subject Alternative Name'
            X509v3 Subject Alternative Name:
                DNS:host1, DNS:host1.

 

 

問題

管理サーバーのWeb UIのロードに失敗すると、ユーザー インターフェイス(UI)を介してPowerFlexクラスターを管理できなくなります。これにより、PowerFlexシステムの管理と運用の容易さが損なわれます。 

Cause

この問題は、Jettyフレームワーク、特に基本クラスの org.eclipse.jetty.util.ssl.SslContextFactory キーストア内の複数の証明書を処理しようとしますが、この操作は処理するようには設計されていません。基本的に、影響を受けるプレゼンテーション サーバーのバージョンには、複数のサブジェクト代替名 (SAN) 拡張エントリを含む証明書を管理する機能がないため、そのような証明書が検出されるとエラーが発生します。 

Resolution

    1. 単一のサブジェクト代替名(SAN)拡張エントリーのみを含む証明書を使用します。これは、管理サーバーの現在の制限事項に合わせたもので、通常の運用が可能になります。
    2. mgmt-serverをバージョン3.6.1にアップグレードします。このバージョンでは、複数のSAN拡張エントリーのサポートが改善されており、証明書を調整する必要性が軽減されています。

     

    問題が発生するバージョン

    PowerFlex 3.5.x

    PowerFlex 3.6.0.x

    修正バージョン

    PowerFlex 3.6.1

    Article Properties
    Article Number: 000215758
    Article Type: Solution
    Last Modified: 10 Dec 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.