NetWorker:应用 CA 签名的证书后,NMC gstd 无法启动错误:系统严重 无法验证证书

Summary: 应用 CA 签名密钥后 NMC gstd 失败 错误:gstd 系统严重 无法验证 D:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem 中的证书。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • NetWorker Management Console (NMC) 无法访问。
  • NMC 服务器的 gstd 服务无法启动,并在gstd.raw中显示错误: 
    Error: gstd SYSTEM critical Failed to verify certificate in C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem.
  • Linux: /opt/lgtonmc/logs/gstd.raw
  • Windows: C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw
  • .raw文件可以使用以下命令呈现: nsr_render_log path_to_gstd.raw

 

Cause

cakey.pem 的生成不正确。

 

Resolution

gstd 证书文件 cakey.pem 应该只包含私钥和 CA 签名的证书。它不包括根证书和中间证书。
从 CA 签名证书生成 cakey.pem 的步骤。

  1. 获取 PFX 格式的单个密钥文件或单个文件中的 CA 签名证书。

  2. 如果 CA 签名的证书位于单个 PFX 文件中,则可以像使用 OpenSSL 工具一样提取私钥和 CA 签名证书(Windows 可能没有安装 OpenSSL,可以单独安装)。

    1. 从 PFX 文件中提取私钥和 CA 签名证书。

      1. 私钥: 
        # openssl pkcs12 -in <file>.pfx -out server.key -nodes -nocerts
      2. CA 证书: 
        # openssl pkcs12 -in <file>.pfx -out server.crt -nokeys

    2. 验证 server.key 和 server.crt 的完整性。

      1. 私钥: 
        # openssl pkey -in server.key -pubout -outform pem | sha256sum
      2. CA 证书: 
        # openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum

      确保输出显示来自这两个输出的相同校验和哈希。如果它们不同,则存在问题。如果它们相同,请转至下一步。

    3. 将私钥和 CA 证书转换为 PEM 格式。

      1. 私钥 
        # openssl rsa -in server.key -outform pem -out server.key.pem
      2. CA 证书 
        # openssl x509 -in server.crt -outform pem -out server.crt.pem

    4. 将密钥或证书合并到 NMC 的 cakey.pem 文件中:

      • Linux: # cat server.key.pem server.crt.pem > cakey.pem
      • Windows (PowerShell): PS > get-content server.key.pem,server.crt.pem | out-file cakey.pem

  3. 关闭 NMC 服务器

    • Linux: systemctl stop gst
    • Windows: net stop gstd

  4. 将 cakey.pem 复制到 NMC 服务器安装位置:

    • Linux: /opt/lgtonmc/etc/cakey.pem
    • Windows: [Install Drive]:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem

  5. 启动 NMC 服务器:

    • Linux: systemctl start gst
    • Windows: net start gstd

 

Additional Information

注:
私钥:server.key
CA 签名:server.crt

 

Article Properties
Article Number: 000207832
Article Type: Solution
Last Modified: 27 Jan 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.