NetWorker. После применения сертификата, подписанного CA, ошибка запуска NMC gstd: Критически важные для системы Не удалось проверить сертификат

Summary: Сбой NMC gstd после применения ключа, подписанного CA Ошибка: gstd SYSTEM critical Не удалось проверить сертификат в D:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Консоль управления NetWorker Management Console (NMC) недоступна.
  • Не удается запустить службу gstd сервера NMC с ошибкой в gstd.raw: 
    Error: gstd SYSTEM critical Failed to verify certificate in C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem.
  • Linux: /opt/lgtonmc/logs/gstd.raw
  • Windows. C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw
  • .raw файлов можно визуализировать с помощью: nsr_render_log path_to_gstd.raw

 

Cause

Файл cakey.pem сгенерирован неправильно.

 

Resolution

Файл сертификата gstd cakey.pem должен содержать только закрытый ключ и сертификат, подписанный CA. Сюда не входят корневой и промежуточный сертификаты.
Действия по созданию cakey.pem из сертификата, подписанного ИС.

  1. Сертификаты, подписанные CA, можно получить в виде отдельных файлов ключей или одного файла в формате PFX.

  2. Если сертификаты, подписанные CA, находятся в одном PFX-файле, закрытый ключ и сертификат, подписанный CA, могут быть извлечены как с помощью инструмента OpenSSL (в Windows может не быть установлен OpenSSL, его можно установить отдельно).

    1. Извлеките закрытый ключ и сертификат, подписанный CA, из файла PFX.

      1. Закрытый ключ: 
        # openssl pkcs12 -in <file>.pfx -out server.key -nodes -nocerts
      2. Сертификат CA: 
        # openssl pkcs12 -in <file>.pfx -out server.crt -nokeys

    2. Проверьте целостность server.key и server.crt.

      1. Закрытый ключ: 
        # openssl pkey -in server.key -pubout -outform pem | sha256sum
      2. Сертификат CA: 
        # openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum

      Убедитесь, что в выходных данных отображается один и тот же хэш контрольной суммы из этих двух выходных данных. Если они отличаются, проблема возникает. Если совпадают, перейдите к следующему шагу.

    3. Преобразуйте закрытый ключ и сертификат CA в формат PEM.

      1. Закрытый ключ 
        # openssl rsa -in server.key -outform pem -out server.key.pem
      2. Сертификат CA 
        # openssl x509 -in server.crt -outform pem -out server.crt.pem

    4. Объедините ключ или сертификат в файл cakey.pem для NMC:

      • Linux: # cat server.key.pem server.crt.pem > cakey.pem
      • Windows (PowerShell): PS > get-content server.key.pem,server.crt.pem | out-file cakey.pem

  3. Выключение сервера NMC

    • Linux: systemctl stop gst
    • Windows. net stop gstd

  4. Скопируйте cakey.pem в папку установки серверов NMC:

    • Linux: /opt/lgtonmc/etc/cakey.pem
    • Windows. [Install Drive]:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem

  5. Запустите сервер NMC.

    • Linux: systemctl start gst
    • Windows. net start gstd

 

Additional Information

Примечание:
Закрытый ключ: server.key
CA подписан: server.crt

 

Article Properties
Article Number: 000207832
Article Type: Solution
Last Modified: 27 Jan 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.