NetWorker: LDAPS-integratie mislukt met "An SSL handshake error occurred while attempting to connect to LDAPS server: Unable to find valid certification path to requested target"
Summary: U probeert de authc_config opdracht/script uit te voeren voor het toevoegen van externe AD/LDAPS-authenticatie met NetWorker. Uw LDAPS CA-certificaat is geïmporteerd naar de JAVA cacerts keystore, maar ontvangt de foutmelding "An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target" ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Het volgende kenmerken de omstandigheden die resulteren in de foutmelding:
"An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target"
"An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target"
- U probeert de authc_config opdracht/script uit te voeren voor het toevoegen van externe AD/LDAPS-authenticatie met NetWorker
- U kunt AD/LDAP (niet-SSL) integreren met NetWorker; Het probleem wordt alleen weergegeven bij het integreren van SSL (LDAPS)
- Uw LDAPS CA-certificaat is geïmporteerd naar de JAVA cacerts keystore.
- U gebruikt een "certificaatketen" in uw omgeving.
Cause
Volgens NetWorker: Hoe u LDAPS-authenticatie configureert, moet u het CA-certificaat importeren van uw LDAPS-server in de Java Trust Keystore op de NetWorker-server om LDAPS externe verificatie te configureren.
Dit probleem doet zich voor omdat alleen het chain-certificaat is geïmporteerd naar de Java Trust Keystore. Voor een certificaatketen moeten alle certificaten in de keten correct worden geïmporteerd naar de Java-keystore in de juiste ketenvolgorde (lagere keten naar rootcert). Elk probleem bij het importeren van het certificaat zou leiden tot een fout bij certificaatverificatie.
Dit wordt geïdentificeerd wanneer u de opdracht openssl uitvoert vanaf uw NetWorker-server naar de LDAPS-server:
Dit probleem doet zich voor omdat alleen het chain-certificaat is geïmporteerd naar de Java Trust Keystore. Voor een certificaatketen moeten alle certificaten in de keten correct worden geïmporteerd naar de Java-keystore in de juiste ketenvolgorde (lagere keten naar rootcert). Elk probleem bij het importeren van het certificaat zou leiden tot een fout bij certificaatverificatie.
Dit wordt geïdentificeerd wanneer u de opdracht openssl uitvoert vanaf uw NetWorker-server naar de LDAPS-server:
OPENSSL_INSTALL_PATH\bin> openssl s_client -showcerts -connect ldaps-server.lab.emc.local:636 CONNECTED(00000124) depth=1 DC = LOCAL, DC = EMC, DC = LAB, CN = LDAPS-SERVER --- Certificate chain 0 s:/CN=LDAPS-SERVER.LAB.EMC.LOCAL i:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER -----BEGIN CERTIFICATE----- << removed for brevity >> -----END CERTIFICATE----- 1 s:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER i:/CN=ROOTCA-SERVER -----BEGIN CERTIFICATE----- << removed for brevity >> -----END CERTIFICATE-----
Resolution
OPMERKING: Een van de laatste stappen in deze procedure is het opnieuw opstarten van de NetWorker serverservice, zodat de certificaten die in de cacerts keystore zijn geïmporteerd, worden gelezen bij het opstarten van de authc. Zorg ervoor dat er geen taken worden uitgevoerd voordat u de volgende acties uitvoert.
Volg de onderstaande procedure om de certificaatfout op te lossen:
1. Verwijder alle eerder geïmporteerde certificaten uit de Java Cacerts Trust Keystore.
OPMERKING: Als u de certificaten hebt geïmporteerd in de NetWorker authc.truststore en/of authc.keystore, moeten deze worden verwijderd.
De processen in dit KB-artikel maken gebruik van de Java Keytool-opdracht . Het kan nodig zijn om de map (cd) te wijzigen in de Java bin-map. Afhankelijk van de Java-installatie en het besturingssysteem, kan dit variëren. De opdracht keytool is te vinden in de map Java installations bin. De meeste NetWorker-implementaties gebruiken de NetWorker Runtime Environment (NRE) voor Java.
- Linux: /opt/nre/java/latest/bin
- Windows: C:\Program Files\NRE\java\jre#.#.###\bin
JAVA_INSTALL_PATH\bin> keytool -list -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit | findstr LDAPS-SERVER
ldaps-server, DATE-IMPORTED, trustedCertEntry,
JAVA_INSTALL_PATH\bin> keytool -list -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit | findstr ROOTCA-SERVER
rootca-server, DATE-IMPORTED, trustedCertEntry,
- LDAPS-SERVER en ROOTCA-SERVER zijn slechts voorbeelden. U moet deze waarden vervangen door aliassen die overeenkomen met uw LDAPS-server en root-CA-server (meestal wordt de hostnaam gebruikt).
- Zelfs als de certificaten niet worden weergegeven bij het gebruik van findstr/grep. Review de uitvoer zonder de resultaten te beperken om te bevestigen dat er geen aliassen zijn voor uw LDAPS-server EN/OF uw root-CA-server. findstr is in het bovenstaande voorbeeld gebruikt voor beknoptheid.
- De standaard storepass voor de Java cacerts trust keystore is "changeit".
- Vervang JAVA_INSTALL_PATH door het volledige pad naar uw Java-installatie.
- Voor het verwijderen van de certificaten uit de authc.truststore en/of authc.keystore, geeft u het volledige pad naar deze bestanden op voor -keystore en het NetWorker authc-wachtwoord voor -storepass. Het wachtwoord van de NetWorker authc keystore wordt geconfigureerd tijdens de installatie van NetWorker.
- Linux:
- /opt/nsr/authc-server/conf/authc.truststore
- /nsr/authc/conf/authc.keystore
- Windows:
- C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
- C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
- Linux:
Als een certificaat wordt weergegeven, moet u het verwijderen (ga anders naar de volgende stap):
keytool -delete -alias ALIAS_NAME -keystore "PATH_TO_CACERTS_FILE" -storepass PASSWORD
Voorbeeld:
JAVA_INSTALL_PATH\bin> keytool -delete -alias LDAPS-SERVER -keystore ..\lib\security\cacerts -storepass changeit
JAVA_INSTALL_PATH\bin> keytool -delete -alias ROOTCA-SERVER -keystore ..\lib\security\cacerts" -storepass changeit
2. Maak verbinding met de LDAPS-server met behulp van de openssl:
openssl s_client -showcerts -connect LDAPS_SERVER:636
Voorbeeld:
OPENSSL_INSTALL_PATH\bin> openssl s_client -showcerts -connect ldaps-server.lab.emc.local:636
CONNECTED(00000124)
depth=1 DC = LOCAL, DC = EMC, DC = LAB, CN = LDAPS-SERVER
---
Certificate chain
0 s:/CN=LDAPS-SERVER.LAB.EMC.LOCAL
i:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER
-----BEGIN CERTIFICATE-----
<< removed for brevity >>
-----END CERTIFICATE-----
1 s:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER
i:/CN=ROOTCA-SERVER
-----BEGIN CERTIFICATE-----
<< removed for brevity >>
-----END CERTIFICATE-----
OPMERKING: In Windows is openSSL meestal niet standaard geïnstalleerd; Linux doet dit echter wel. Als u een Linux-systeem in uw omgeving hebt, kunt u dat systeem gewoon gebruiken voor het verzamelen van de SSL-certificaatinformatie met OpenSSL; Controleer anders of OpenSSL kan worden geïnstalleerd op de Windows NetWorker-server.
3, a. Kopieer het ketencertificaat, inclusief het -----BEGIN CERTIFICATE----- header en de -----END CERTIFICATE----- footer in een tekstbestand, bijvoorbeeld: chain.cer
3, b. Kopieer het basiscertificaat, inclusief de -----BEGIN CERTIFICATE----- header en de -----END CERTIFICATE----- footer in een tekstbestand, bijv. root.cer
4. Importeer het chain-certificaat in de Java cacerts trust keystore en importeer vervolgens alle certificaten voorafgaand aan het basiscertificaat:
Voorbeeld:
JAVA_INSTALL_PATH\bin> keytool -import -alias LDAPS-SERVER -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit -file "PATH_TO\chain.cer"
<< removed for brevity >>
Trust this certificate? [no]: y
Certificate was added to keystore
JAVA_INSTALL_PATH\bin> keytool -import -alias ROOTCA-SERVER -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit -file "PATH_TO\root.cer"
<< removed for brevity >>
Trust this certificate? [no]: y
Certificate was added to keystore
- Vervang de aliaswaarden door aliassen die overeenkomen met uw omgeving, bijvoorbeeld de hostnaam van de LDAPS- en CA-server.
- Vervang PATH_TO door het volledige pad naar de locatie van de bestanden die u hebt gemaakt voor de chain.cer en root.cer.
- Zorg ervoor dat er geen extra fouten worden uitgevoerd tijdens het importeren.
5. Start NetWorker-services opnieuw op. De authc-service leest de cacerts keystore bij het opstarten:
Linux: nsr_shutdown
systemctl start networker
Windows: net stop nsrd /y && net start nsrd
WAARSCHUWING: Als NetWorker-services niet opnieuw worden opgestart, worden de certificaatwijzigingen niet gelezen en blijft het probleem zich voordoen.
6. Voltooi de LDAPS-integratie:
NetWorker: 'AD over SSL' (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI)
Networker: LDAPS-authenticatie configureren.
Additional Information
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000173094
Article Type: Solution
Last Modified: 23 May 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.