Avamar - Dell Cloud Director Data Protection Extension (DPE) vcpsrv status shutdown due to invalid Cloud certificate (avslutning på grunn av ugyldig nettskysertifikat)

Sammendrag: DPE: vcpsrv-statusen viser en avslutning som skyldes ugyldig vCloud-sertifikat i DPE-klareringslageret Dell EMC Data Protection Extension er den første sertifiserte databeskyttelsesløsningen for VMware vCloud Director, som også er en innebygd databeskyttelsesløsning. Den utvider vCloud Director HTML 5-grensesnittet og REST API-en for å gi leietakere ett enkelt administreringsendepunkt for virtuelle datasentre. Leietakere kan administrere sikkerhetskopieringer av VM-er og vApp-er på imagenivå, gjenoppretting til en ny VM eller på stedet, etter retningslinjer eller ad hoc, og til og med gjenoppretting på filnivå. ...

Denne artikkelen gjelder for Denne artikkelen gjelder ikke for Denne artikkelen er ikke knyttet til noe bestemt produkt. Det er ikke produktversjonene som identifiseres i denne artikkelen.
Ta en titt på andre ressurser

Symptomer

VCP-administratortjenesten er avsluttet
BG-tjenesten er nede
DPE kan ikke koble til vCloud

VCP-administratorloggen viser sertifikatfeil: 
/var/log/vcp/vcp-manager.log 
2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path.
        at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301]
        at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]

Årsak

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv update <srv-service-name from step 8>
vcp-cli bg update <bg service name from step 8>

Sertifikatet er utløpt eller erstattet i nettskyen, og DPE må importere det nye nettskysertifikatet.

Oppløsning

Forhåndskrav:  Hent legitimasjon for nøkkellagerfilen.  DPE genererer alltid et nøkkellager med tilfeldig passord, så vi må bruke kommandoen nedenfor med kundens hovedpassord for å få nøkkellageret
    
vcp-cli credential list -p <master_password>
Eksempel på utdata 
# vcp-cli  credential list -p Changeme_1
getting credentials...
Success

credential:
   component: truststore
   url: /etc/vcp/truststore
   username:
   password: ZM1VnGwRZCLFrrNS

Trinn 1
Kontroller gjeldende sertifikater i klareringslageret for nettskysertifikatet, og sjekk datoene for å se om de er utløpt, eller sjekk SHA1-fingeravtrykket for å se om det samsvarer med det gjeldende sertifikatet som brukes for vCloud 
 # vcp-cli certificate show-trust -a cloud

Eksempel på utdata som viser at det gamle vCloud-sertifikatet for øyeblikket er lastet inn i klareringslageret ved hjelp av aliasskyen  
Alias name: cloud
Creation date: Sep 8, 2021
Entry type: trustedCertEntry

[..]
Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022
Certificate fingerprints:
MD5:  B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF
SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8       SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3B
Noter deg SHA1-fingeravtrykket og datoene:
I dette eksemplet er fingeravtrykket følgende: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
I dette eksempelet er sertifikatet gyldig frem til  lørdag 23. april kl. 09:32:45 EDT 2022

Trinn 2
Bruk en ny keytool-kommando til å opprette en TLS-tilkobling til nettskyen og få SHA1-fingeravtrykket  
# keytool  -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -dates
Eksempel på utdata 
SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
notBefore=Dec 29 18:59:49 2021 GMT
notAfter=Dec 29 18:59:49 2022 GMT
Hvis fingeravtrykkene eller datoene ikke samsvarer, må du oppdatere nettskysertifikatet på DPE.

Trinn 3
Ta en kopi av klareringslageret 
cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp

Trinn 4
Hvis du skal erstatte sertifikatet i klareringslageret på DPE, må du først slette det gamle sertifikatet 
keytool -delete  -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 
Trinn 5
Last ned det gjeldende vCloud-sertifikatet til en ny fil: new_cloud_cert.crt  
keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crt
Trinn 6
Importer sertifikatfilen til klareringslageret 
keytool -import -file new_cloud_cert.crt -alias cloud  -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

Trinn 7
Gjenta kommandoen fra trinn 1 for å bekrefte at det nye sertifikatet er installert  
 # vcp-cli certificate show-trust -a cloud

Eksempel på utdata 
Alias name: cloud 
Creation date: Jul 27, 2022
Entry type: trustedCertEntry

Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
         MD5:  8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
         SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
         SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2
Merk: 
Denne opprettelsesdatoen skal være dagens dato, og SHA1-fingeravtrykket og sertifikatdatoene må oppdateres. 

Trinn 8 
Få nodestatusen for å hente servicenavnene for BG og srv  
vcp-cli node status
Trinn 9 
Start tjenestene på nytt  
systemctl restart vcp-manager.service
sleep 30
vcp-cli srv stop <srv-service-name> -p <master password>
vcp-cli srv start <srv-service-name> -p <master password>
vcp-cli bg stop <bg service name>  -p <master password>
vcp-cli bg start <bg service name> -p <master password>

Trinn 10
Sjekk statusene 
vcp-cli srv status
vcp-cli bg status

Berørte produkter

Avamar
Artikkelegenskaper
Artikkelnummer: 000198597
Artikkeltype: Solution
Sist endret: 08 jan. 2026
Versjon:  8
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.