SANnav Connectrix: Servizio proxy che non si avvia dopo la sostituzione del certificato SSL con firmato dalla CA

Riepilogo: Il servizio proxy non si avvia dopo la sostituzione del certificato SSL con firmato dalla CA.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Sintomi

[VMware] root@olsannav.kba.de /opt/sannav/Portal_2.4.0_bld249/bin # sh ./replace-sannav-certificates.sh

Enter the path for the chained CA certificate including the file name (If you have an intermediate certificate chain the same with root and provide the path including file name.) :
/tmp/ca-chain.crt

Enter the path for the private key including the file name :
/tmp/olsannav.kba.de.key

Enter the password for private key (/tmp/olsannav.kba.de.key). If the private key is not password protected, press Enter :

Enter the path for the SSL certificate to be installed on olsannav.kba.de including the file name. Ensure that the Common Name of the certificate matches the FQDN of the host olsannav.kba.de.
/tmp/olsannav.kba.de.crt
No extensions in certificate

Successfully validated the certificate and the private key.
Stopping the SANnav Management Portal server to apply the certificates.
Stopped the SANnav Management Portal server to apply the certificates.
Starting SANnav Management Portal services.
Services have been started.
Waiting and checking for SANnav server to be ready. This may take a few minutes.
[|]
Some services are still not up. Run the script (/opt/sannav/Portal_2.4.0_bld249/bin/check-sannav-status.sh) to check SANnav startup status.
If all services are not up after an additional 15 minutes, run the troubleshooting script (/opt/sannav/Portal_2.4.0_bld249/bin/troubleshooting-sannav.sh) to resolve any reported issues and restart SANnav.

Il contenitore Docker per il servizio proxy mostra il seguente errore:

/docker-entrypoint.sh: Launching /docker-entrypoint.d/30-tune-worker-processes.sh
/docker-entrypoint.sh: Configuration complete; ready for start up

2025/05/30 11:43:59 [warn] 1#1: the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:1
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:1

2025/05/30 11:43:59 [emerg] 1#1: SSL_CTX_use_PrivateKey("/etc/nginx/sannav-cert.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
nginx: [emerg] SSL_CTX_use_PrivateKey("/etc/nginx/sannav-cert.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

È stato verificato che il nome comune (CN) del certificato CA e il certificato firmato dal server SANnav siano uguali:

openssl x509 -in /tmp/olsannav.kba.de.crt -noout -subject
subject=O=KBA, OU=146-SSL-Server, OU=SAN, CN=olsannav.kba.de

[VMware ] root@olsannav.kba.de /opt/sannav # hostname
olsannav.kba.de

Verificati anche i certificati:

# openssl rsa -noout -modulus -in olsannav.kba.de.key | openssl md5
MD5(stdin)= 3de4b148f281980ec2e9ad827b7ca257

# openssl x509 -noout -modulus -in olsannav.kba.de.crt | openssl md5
MD5(stdin)= 3de4b148f281980ec2e9ad827b7ca257

# openssl verify -CAfile /tmp/ca-chain.crt /tmp/olsannav.kba.de.crt
/tmp/olsannav.kba.de.crt: OK

Causa

Gli errori suggeriscono che la chiave potrebbe avere un valore errato o essere stata protetta da password in un determinato momento. In questo caso, il certificato aveva un formato errato. 

Risoluzione

Convertire il certificato da DER su PEM Formattare e seguire le istruzioni riportate di seguito per avviare il servizio proxy.

  1. Avviare la console Linux sul server SANnav .
  2. Vai alla posizione <SANnav_Home>/conf/nginx e fare il backup del file sannav-cert.pem e sannav-cert.Key e spostarlo al di fuori della posizione principale di SANnav.
  3. Convalidare il certificato e le chiavi originali:
    1. Questi due comandi stampano checksum md5 del certificato e della chiave; I checksum possono essere confrontati per verificare che il certificato e la chiave corrispondano:
openssl x509 -noout -modulus -in server.pem | openssl md5

openssl rsa -noout -modulus -in server.key | openssl md5
  1. Verificare la catena di certificati:
openssl verify -CAfile chain.pem server.pem
  1. Convalidare la chiave:
openssl rsa -check -noout -in server.key
  1. Controllare il certificato e restituire le relative informazioni (autorità di firma, data di scadenza e così via):
openssl x509 -in server.pem -noout -text
openssl x509 -in chain.pem -noout -text
  1. Copiare il certificato corretto e concatenarlo nella posizione <SANnav_Home>/conf/nginx
    1. In <~location original certificates received from the CA> fare:
cat <server_cert.pem> <chained_cert.pem> >> sannav-cert.pem

cat <server_key.key> >> sannav-cert.key
  1. Copia <~location original key>/sannav-cert.key <SANnav_Home>/conf/nginx/sannav-cert.key
  2. Copia <~location original pem>/sannav-cert.pem <SANnav_Home>/conf/nginx/sannav-cert.pem
  1. Riavviare il nginx service Seguendo i passaggi seguenti:
    1. Eseguire i comandi seguenti per ottenere l'ID del servizio proxy:
[root@sannav4321 bin]# docker service ls | grep proxy
ypaxcuueqlbb   dcm_2_2_0_proxy

replicated   0/1        10.1xx.4x.8x:5000/proxy-local:sann2.2.0        
  1. Ridurre il servizio proxy utilizzando il comando riportato di seguito:
[root@sannav4321 bin]# docker service scale dcm_2_2_0_proxy=0
ypaxcuueqlbb scaled to 0
overall progress: 0 out of 0 tasks
verify: Service converged
  1. Attendere 10-15 secondi, quindi eseguire lo scale-up del servizio proxy utilizzando il comando seguente:
[root@sannav4321 bin]# docker service scale dcm_2_2_0_proxy=1
ypaxcuueqlbb scaled to 1
overall progress: 1 out of 1 tasks
1/1: running   [==================================================>]
verify: Service converged
  1. Verificare se il servizio proxy è attivo e in esecuzione "1/1" o meno utilizzando il comando seguente:
[root@sannav4321 bin]# docker service ls | grep proxy
ypaxcuueqlbb   dcm_2_2_0_proxy                                  replicated   1/1        10.155.43.87:5000/proxy-local:sann2.2.0          
[root@sannav4321 bin]#
  1. Verificare lo stato dei servizi SANnav, se nginx proxy service è attivo e funzionante o non è in esecuzione utilizzando lo script check-sannav-status.sh.
  2. Eseguire lo script replace-sannav-certificates di nuovo dopo l'avvio del proxy e applicare nuovamente la chiave, il certificato e la catena per applicare il certificato corretto al contenitore KAFKA. Seguire la procedura dal replace-sannav-certificates copione.

Prodotti

Connectrix SANnav
Proprietà dell'articolo
Numero articolo: 000340227
Tipo di articolo: Solution
Ultima modifica: 23 mag 2026
Versione:  3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.