NetWorker: Dopo l'applicazione di un certificato firmato dalla CA, NMC gstd non riesce ad avviare l'errore: SISTEMA critico Impossibile verificare il certificato

Summary: NMC gstd ha esito negativo dopo l'applicazione della chiave firmata dalla CA Errore: gstd SYSTEM critical Impossibile verificare il certificato in D:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • NetWorker Management Console (NMC) non è accessibile.
  • Il servizio gstd del server NMC non si avvia con un errore nel gstd.raw: 
    Error: gstd SYSTEM critical Failed to verify certificate in C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem.
  • Linux: /opt/lgtonmc/logs/gstd.raw
  • Windows: C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw
  • .raw file possono essere visualizzati con: nsr_render_log path_to_gstd.raw

 

Cause

Il file cakey.pem viene generato in modo errato.

 

Resolution

Il file di certificato gstd cakey.pem deve contenere solo una chiave privata e un certificato firmato dalla CA. Non include i certificati root e intermedi.
Procedura per generare cakey.pem da un certificato firmato dalla CA.

  1. Ottenere i certificati firmati dalla CA in singoli file di chiave o in un singolo file in formato PFX.

  2. Se i certificati firmati dalla CA si trovano in un singolo file PFX, la chiave privata e il certificato firmato dalla CA possono essere estratti come con lo strumento OpenSSL (Windows potrebbe non avere OpenSSL installato, può essere installato separatamente).

    1. Estrarre la chiave privata e il certificato firmato dalla CA dal file PFX.

      1. Chiave privata: 
        # openssl pkcs12 -in <file>.pfx -out server.key -nodes -nocerts
      2. Certificato CA: 
        # openssl pkcs12 -in <file>.pfx -out server.crt -nokeys

    2. Verificare l'integrità del server.key e del file server.crt.

      1. Chiave privata: 
        # openssl pkey -in server.key -pubout -outform pem | sha256sum
      2. Certificato CA: 
        # openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum

      Assicurarsi che l'output mostri lo stesso hash di checksum di questi due output. Se sono diversi, c'è un problema. Se sono uguali, andare al passaggio successivo.

    3. Convertire la chiave privata e il certificato CA in formato PEM.

      1. Chiave privata 
        # openssl rsa -in server.key -outform pem -out server.key.pem
      2. Certificato CA 
        # openssl x509 -in server.crt -outform pem -out server.crt.pem

    4. Combinare la chiave o il certificato nel file cakey.pem per NMC:

      • Linux: # cat server.key.pem server.crt.pem > cakey.pem
      • Windows (PowerShell): PS > get-content server.key.pem,server.crt.pem | out-file cakey.pem

  3. Arresto del server NMC

    • Linux: systemctl stop gst
    • Windows: net stop gstd

  4. Copiare il cakey.pem nel percorso di installazione dei server NMC:

    • Linux: /opt/lgtonmc/etc/cakey.pem
    • Windows: [Install Drive]:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem

  5. Avviare il server NMC:

    • Linux: systemctl start gst
    • Windows: net start gstd

 

Additional Information

Nota:
Chiave privata: server.key
firmata dalla CA: server.crt

 

Article Properties
Article Number: 000207832
Article Type: Solution
Last Modified: 27 Jan 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.