Avamar - 잘못된 클라우드 인증서로 인해 Dell Cloud Director DPE(Data Protection Extension) vcpsrv 상태가 종료됨

VCP Manager 서비스 종료
BG 서비스 중단
DPE를 vCloud에 연결할 수 없음

VCP 관리자 로그에 다음 인증서 오류가 표시됩니다.

/var/log/vcp/vcp-manager.log 

2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path.
        at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301]
        at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv update <srv-service-name from step 8>
vcp-cli bg update <bg service name from step 8>

인증서가 만료되었거나 클라우드에서 교체되었으며 DPE에 새 클라우드 인증서를 가져와야 합니다.

사전 구성 요소:  키 저장소 파일에 대한 자격 증명을 가져옵니다.  DPE는 항상 임의의 비밀번호 키 저장소를 생성하므로 고객 마스터 비밀번호와 함께 아래 명령을 사용하여 키 저장소를 생성해야 합니다.
   

vcp-cli credential list -p <master_password>

예시 출력

# vcp-cli  credential list -p Changeme_1
getting credentials...
Success

credential:
   component: truststore
   url: /etc/vcp/truststore
   username:
   password: ZM1VnGwRZCLFrrNS

1단계
truststore의 현재 인증서에서 클라우드 인증서를 확인하고, 만료되었는지 확인하기 위해 날짜를 살펴보거나, SHA1 Fingerprint를 확인하여 vCloud에 적용된 현재 인증서와 일치하는지 확인합니다.

 # vcp-cli certificate show-trust -a cloud 

이전 vCloud 인증서가 현재 별칭 클라우드를 사용하여 truststore에 로드되어 있음을 보여 주는 예시 출력입니다. 

Alias name: cloud
Creation date: Sep 8, 2021
Entry type: trustedCertEntry

[..]
Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022
Certificate fingerprints:
MD5:  B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF
SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8       SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3B

SHA1 Fingerprint와 날짜를 기록해 둡니다.
이 예에서는 Fingerprint로 다음과 같습니다. C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
이 예에서 인증서는 다음까지 유효합니다.  Sat Apr 23 09:32:45 EDT 2022

2단계
new keytool 명령을 사용하여 클라우드에 TLS 연결을 만들고 SHA1 Fingerprint를 얻습니다. 

# keytool  -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -dates

예시 출력

SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
notBefore=Dec 29 18:59:49 2021 GMT
notAfter=Dec 29 18:59:49 2022 GMT

Fingerprint가 일치하지 않거나 날짜가 일치하지 않는 경우 DPE에서 클라우드 인증서를 업데이트해야 합니다.

3단계
truststore의 사본을 만듭니다.

cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp

4단계
DPE의 truststore에 있는 인증서를 교체하려면 먼저 이전 인증서를 삭제하십시오.

keytool -delete  -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

5단계
현재 vCloud 인증서를 새 파일 new_cloud_cert.crt로 다운로드합니다. 

keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crt

6단계
인증서 파일을 truststore로 가져옵니다.

keytool -import -file new_cloud_cert.crt -alias cloud  -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

7단계
1단계의 명령을 다시 반복하여 새 인증서가 설치되었는지 확인합니다. 

 # vcp-cli certificate show-trust -a cloud 

예시 출력

Alias name: cloud 
Creation date: Jul 27, 2022
Entry type: trustedCertEntry

Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
         MD5:  8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
         SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
         SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2

참고: 
이 생성 날짜는 오늘 날짜여야 하며 SHA1 Fingerprint 및 인증서 날짜를 업데이트해야 합니다. 

8단계
BG 및 SRV의 서비스 이름을 가져오기 위해 노드 상태를 가져옵니다. 

vcp-cli node status

9단계
서비스를 재시작합니다. 

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv stop <srv-service-name> -p <master password>
vcp-cli srv start <srv-service-name> -p <master password>
vcp-cli bg stop <bg service name>  -p <master password>
vcp-cli bg start <bg service name> -p <master password>

10단계
상태를 점검합니다.

vcp-cli srv status
vcp-cli bg status