Avamar – Dell Cloud Director Data Protection Extension (DPE) : état vcpsrv indiquant un arrêt en raison d'un certificat cloud non valide

Arrêt du service VCP Manager
Arrêt du service BG
Échec de connexion de DPE à vCloud

Le journal VCP Manager indique des erreurs de certificat :

/var/log/vcp/vcp-manager.log 

2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path.
        at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301]
        at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv update <srv-service-name from step 8>
vcp-cli bg update <bg service name from step 8>

Le certificat a expiré ou a été remplacé sur le cloud et DPE doit obtenir le nouveau certificat cloud importé.

Configuration requise :  Obtenez les informations d'identification pour le fichier du magasin de clés.  DPE génère toujours un magasin de clés avec un mot de passe aléatoire. Nous devons donc utiliser la commande ci-dessous avec le mot de passe principal du client pour obtenir le magasin de clés.
   

vcp-cli credential list -p <master_password>

Exemple de résultat

# vcp-cli  credential list -p Changeme_1
getting credentials...
Success

credential:
   component: truststore
   url: /etc/vcp/truststore
   username:
   password: ZM1VnGwRZCLFrrNS

Étape 1
Vérifiez les certificats actuels dans le magasin d'approbations pour le certificat cloud, en examinant les dates pour voir si le certificat a expiré ou en examinant l'empreinte SHA1 pour voir s'il correspond au certificat actuel appliqué au vCloud

 # vcp-cli certificate show-trust -a cloud 

Exemple de sortie indiquant que l'ancien certificat vCloud est actuellement chargé dans le truststore à l'aide de l'alias « cloud » 

Alias name: cloud
Creation date: Sep 8, 2021
Entry type: trustedCertEntry

[..]
Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022
Certificate fingerprints:
MD5:  B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF
SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8       SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3B

Prenez note de l'empreinte SHA1 et des dates.
Dans cet exemple, l'empreinte digitale est : C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
Dans cet exemple, le certificat est valide jusqu'à la date :  Samedi 23 avril 2022 09:32:45 EDT

Étape 2
Utilisez la nouvelle commande keytool pour établir une connexion TLS au cloud et obtenir l'empreinte SHA1 

# keytool  -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -dates

Exemple de résultat

SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
notBefore=Dec 29 18:59:49 2021 GMT
notAfter=Dec 29 18:59:49 2022 GMT

Si les empreintes ou les dates ne correspondent pas, vous devez mettre à jour le certificat cloud sur le DPE.

Étape 3
Effectuez une copie du truststore

cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp

Étape 4
Afin de remplacer le certificat dans le truststore sur DPE, supprimez d'abord l'ancien certificat

keytool -delete  -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

Étape 5
Téléchargez le certificat vCloud actuel dans un nouveau fichier : new_cloud_cert.crt 

keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crt

Étape 6
Importez le fichier de certificat dans le truststore

keytool -import -file new_cloud_cert.crt -alias cloud  -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

Étape 7
Répétez la commande à partir de l'étape 1 pour confirmer que le nouveau certificat est installé 

 # vcp-cli certificate show-trust -a cloud 

Exemple de résultat

Alias name: cloud 
Creation date: Jul 27, 2022
Entry type: trustedCertEntry

Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
         MD5:  8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
         SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
         SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2

Remarque : 
cette date de création doit être la date du jour, et l'empreinte SHA1 et les dates de certificat doivent avoir été mises à jour. 

Étape 8
Interrogez l'état du nœud pour récupérer les noms des services pour BG et srv 

vcp-cli node status

Étape 9
Redémarrez les services 

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv stop <srv-service-name> -p <master password>
vcp-cli srv start <srv-service-name> -p <master password>
vcp-cli bg stop <bg service name>  -p <master password>
vcp-cli bg start <bg service name> -p <master password>

Étape 10
Vérifiez les états

vcp-cli srv status
vcp-cli bg status