NetWorker: LDAPS-integrering mislykkes med «Det oppsto en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: Unable to find valid certification path to requested target» (Finner ikke gyldig sertifiseringsbane til forespurt mål)
Summary: Du prøver å kjøre authc_config kommando/skript for å legge til ekstern AD/LDAPS-godkjenning med NetWorker. LDAPS CA-sertifikatet ble importert til JAVA Cacerts-nøkkellageret, men får feilmeldingen «Det oppsto en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: finner ikke gyldig sertifiseringsbane til forespurt mål» ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Følgende betegner forholdene som resulterer i feilmeldingen:
«Det oppsto en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble
«Det oppsto en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble
- Du prøver å kjøre authc_config kommando/skript for å legge til ekstern AD/LDAPS-godkjenning med NetWorker
- Du kan integrere AD/LDAP (ikke-SSL) med NetWorker, Problemet oppstår bare når du integrerer SSL (LDAPS)
- LDAPS CA-sertifikatet ble importert til JAVA Cacerts-nøkkellageret.
- Du bruker en «sertifikatkjede» i miljøet ditt.
Cause
I henhold til NetWorker: Slik konfigurerer du LDAPS-godkjenning.Du må importere CA-sertifikatet fra LDAPS-serveren i Java Trust-nøkkellageret på NetWorker-serveren for å kunne konfigurere ekstern LDAPS-godkjenning.
Dette problemet oppstår fordi bare kjedesertifikatet ble importert til Java Trust-nøkkellageret. For en sertifikatkjede bør alle sertifikatene i kjeden importeres riktig til Java-nøkkellageret i riktig kjederekkefølge (lavere kjede til rotsertifikat). Ethvert problem med import av sertifikatet vil føre til at sertifikatbekreftelsen mislykkes.
Dette identifiseres når du kjører Openssl-kommandoen fra NetWorker-serveren til LDAPS-serveren:
Dette problemet oppstår fordi bare kjedesertifikatet ble importert til Java Trust-nøkkellageret. For en sertifikatkjede bør alle sertifikatene i kjeden importeres riktig til Java-nøkkellageret i riktig kjederekkefølge (lavere kjede til rotsertifikat). Ethvert problem med import av sertifikatet vil føre til at sertifikatbekreftelsen mislykkes.
Dette identifiseres når du kjører Openssl-kommandoen fra NetWorker-serveren til LDAPS-serveren:
OPENSSL_INSTALL_PATH\bin> openssl s_client -showcerts -connect ldaps-server.lab.emc.local:636 CONNECTED(00000124) depth=1 DC = LOCAL, DC = EMC, DC = LAB, CN = LDAPS-SERVER --- Certificate chain 0 s:/CN=LDAPS-SERVER.LAB.EMC.LOCAL i:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER -----BEGIN CERTIFICATE----- << removed for brevity >> -----END CERTIFICATE----- 1 s:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER i:/CN=ROOTCA-SERVER -----BEGIN CERTIFICATE----- << removed for brevity >> -----END CERTIFICATE-----
Resolution
MERK: Ett av de siste trinnene i denne prosedyren omfatter omstart av NetWorker-servertjenesten, slik at sertifikatene som importeres til Cacerts-nøkkellageret, leses ved oppstart av godkjenning. Kontroller at ingen jobber kjører før du utfører følgende handlinger.
Følg fremgangsmåten nedenfor for å løse sertifikatfeilen:
1. Fjern eventuelle tidligere importerte sertifikater fra Java Cacerts Trust-nøkkellageret.
MERK: Hvis du har importert sertifikatene til NetWorker authc.truststore og/eller authc.keystore, må de slettes.
Prosessene i denne KB-en utnytter Java Keytool-kommandoen . Det kan være nødvendig å endre katalog (cd) til Java Bin-katalogen. Dette kan variere avhengig av Java-installasjonen og -operativsystemet. Du finner keytool-kommandoen i bin-katalogen for Java-installasjoner. De fleste NetWorker-implementeringer bruker NetWorker Runtime Environment (NRE) for Java.
- Linux: /opt/nre/java/latest/bin
- Windows: C:\Programfiler\NRE\java\jre#.#.#_###\bin
JAVA_INSTALL_PATH\bin> keytool -list -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit | findstr LDAPS-SERVER
ldaps-server, DATE-IMPORTED, trustedCertEntry,
JAVA_INSTALL_PATH\bin> keytool -list -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit | findstr ROOTCA-SERVER
rootca-server, DATE-IMPORTED, trustedCertEntry,
- LDAPS-SERVER og ROOTCA-SERVER er bare eksempler. Du må erstatte disse verdiene med aliaser som samsvarer med LDAPS-serveren og rot-CA-serveren (vanligvis brukes vertsnavnet).
- Selv om sertifikatene ikke vises når du bruker findstr/grep. Review the output without narrowing the results to confirm there are no aliases for your LDAPS server AND/OR your root CA server. findstr was used for brevity in the above example (Finn utdata uten å begrense resultatene for Å bekrefte at det ikke finnes aliaser for LDAPS-serveren OG/ELLER rot-CA-serveren. Findstr ble brukt for kortfattethet i eksemplet ovenfor).
- Standardpassord for Java Cacerts Trust-nøkkellageret er «changeit».
- Bytt ut JAVA_INSTALL_PATH med hele banen til Java-installasjonen.
- Hvis du vil fjerne sertifikatene fra authc.truststore og/eller authc.keystore, angir du hele banen til disse filene for -keystore og NetWorker authc-passordet for -storepass. NetWorker authc keystore-passordet konfigureres under installasjon av NetWorker.
- Linux:
- /opt/nsr/authc-server/conf/authc.truststore
- /nsr/authc/conf/authc.keystore
- Windows:
- C:\Programfiler\EMC NetWorker\nsr\authc-server\conf\authc.truststore
- C:\Programfiler\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
- Linux:
Hvis et sertifikat vises, må du slette det (ellers går du til neste trinn):
keytool -delete -alias ALIAS_NAME -keystore "PATH_TO_CACERTS_FILE" -storepass PASSWORD
Eksempel:
JAVA_INSTALL_PATH\bin> keytool -delete -alias LDAPS-SERVER -keystore ..\lib\security\cacerts -storepass changeit
JAVA_INSTALL_PATH\bin> keytool -delete -alias ROOTCA-SERVER -keystore ..\lib\security\cacerts" -storepass changeit
2. Koble til LDAPS-serveren ved hjelp av openssl:
openssl s_client -showcerts -connect LDAPS_SERVER:636
Eksempel:
OPENSSL_INSTALL_PATH\bin> openssl s_client -showcerts -connect ldaps-server.lab.emc.local:636
CONNECTED(00000124)
depth=1 DC = LOCAL, DC = EMC, DC = LAB, CN = LDAPS-SERVER
---
Certificate chain
0 s:/CN=LDAPS-SERVER.LAB.EMC.LOCAL
i:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER
-----BEGIN CERTIFICATE-----
<< removed for brevity >>
-----END CERTIFICATE-----
1 s:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER
i:/CN=ROOTCA-SERVER
-----BEGIN CERTIFICATE-----
<< removed for brevity >>
-----END CERTIFICATE-----
MERK: Windows har vanligvis ikke OpenSSL installert som standard. Linux gjør det imidlertid. Hvis du har et Linux-system i miljøet ditt, kan du bare bruke dette systemet til å samle inn SSL-sertifikatinformasjonen med OpenSSL. Hvis ikke, må du kontrollere om OpenSSL kan installeres på Windows NetWorker-serveren.
3, a. Kopier kjedesertifikatet, inkludert -----BEGIN CERTIFICATE----- header og -----END CERTIFICATE----- bunnteksten til en tekstfil, f.eks. chain.cer
3, b. Kopier rotsertifikatet, inkludert -----BEGIN CERTIFICATE----- header og -----END CERTIFICATE------bunnteksten i en tekstfil, f.eks. root.cer
4. Importer kjedesertifikatet til Java Cacerts Trust-nøkkellageret, og importer deretter alle sertifikater som fører opp til rotsertifikatet:
Eksempel:
JAVA_INSTALL_PATH\bin> keytool -import -alias LDAPS-SERVER -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit -file "PATH_TO\chain.cer"
<< removed for brevity >>
Trust this certificate? [no]: y
Certificate was added to keystore
JAVA_INSTALL_PATH\bin> keytool -import -alias ROOTCA-SERVER -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit -file "PATH_TO\root.cer"
<< removed for brevity >>
Trust this certificate? [no]: y
Certificate was added to keystore
- Bytt ut aliasverdiene med aliaser som samsvarer med miljøet ditt, for eksempel vertsnavnet til LDAPS- og CA-serveren.
- Bytt ut PATH_TO med hele banen til plasseringen av filene du opprettet for chain.cer og root.cer.
- Kontroller at det ikke blir utgitt flere feil under importen.
5. Start NetWorker-tjenestene på nytt. Authc-tjenesten leser cacerts-nøkkellageret ved oppstart:
Linux: nsr_shutdown
systemctl start networker
Windows: net stop nsrd /y && net start nsrd
ADVARSEL: Hvis NetWorker-tjenestene ikke startes på nytt, blir ikke sertifikatendringene lest, og problemet vedvarer.
6. Fullfør LDAPS-integreringen:
NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
Networker: Slik konfigurerer du LDAPS-godkjenning.
Additional Information
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000173094
Article Type: Solution
Last Modified: 23 May 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.