Avamar — desligamento do status vcpsrv do Dell Cloud Director Data Protection Extension (DPE) devido a um certificado de nuvem inválido

Resumo: DPE: o status do vcpsrv mostra o desligamento devido a um certificado inválido do vcloud no truststore do DPE O Dell EMC Data Protection Extension é a primeira solução de proteção de dados certificada para VMware vCloud Director, que também é uma solução nativa de proteção de dados. Ele estende a IU HTML 5 do vCloud Director e a API REST, fornecendo aos grupos de usuários um endpoint de gerenciamento único para seus datacenters virtuais. Os grupos de usuários podem gerenciar backups em nível de imagem de VMs e vApps, restaurar para uma nova VM ou no local, por política ou adhoc, até mesmo restaurar em nível de arquivo. ...

Este artigo aplica-se a Este artigo não se aplica a Este artigo não está vinculado a nenhum produto específico. Nem todas as versões do produto estão identificadas neste artigo.
Confira outros recursos

Sintomas

Desligamento do serviço VCP Manager
Serviço BG inativo
O DPE não consegue se conectar ao vCloud

O log do VCP Manager mostra erros de certificado: 
/var/log/vcp/vcp-manager.log 
2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path.
        at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301]
        at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]

Causa

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv update <srv-service-name from step 8>
vcp-cli bg update <bg service name from step 8>

O certificado expirou ou foi substituído na nuvem, e o DPE precisa importar o novo certificado da nuvem.

Resolução

Pré-requisitos:  Obter credenciais do arquivo de repositório de chaves.  O DPE sempre gera um repositório de chaves com senha aleatória, assim, temos que usar o comando abaixo com a senha mestre do cliente para obter o repositório de chaves
    
vcp-cli credential list -p <master_password>
exemplo de resultado 
# vcp-cli  credential list -p Changeme_1
getting credentials...
Success

credential:
   component: truststore
   url: /etc/vcp/truststore
   username:
   password: ZM1VnGwRZCLFrrNS

Etapa 1
Verifique os certificados atuais no truststore do certificado de nuvem, analisando as datas para ver se expiraram ou a impressão digital SHA1 para ver se corresponde ao certificado atual aplicado ao VCloud 
 # vcp-cli certificate show-trust -a cloud

Exemplo de resultado que mostra que o certificado antigo do vCloud está atualmente carregado no truststore usando a nuvem de alias  
Alias name: cloud
Creation date: Sep 8, 2021
Entry type: trustedCertEntry

[..]
Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022
Certificate fingerprints:
MD5:  B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF
SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8       SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3B
Anote a impressão digital SHA1 e as datas:
Neste exemplo, a impressão digital é: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
Neste exemplo, o certificado é válido até:  Sat Apr 23 09:32:45 EDT 2022

Etapa 2
Use o novo comando keytool para fazer uma conexão TLS com a nuvem e obter a impressão digital SHA1  
# keytool  -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -dates
Exemplo de resultado 
SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
notBefore=Dec 29 18:59:49 2021 GMT
notAfter=Dec 29 18:59:49 2022 GMT
Se as impressões digitais ou as datas não corresponderem, você precisará atualizar o certificado de nuvem no DPE.

Etapa 3
Faça uma cópia do truststore 
cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp

Etapa 4
Para substituir o certificado no truststore no DPE, primeiro exclua o certificado antigo 
keytool -delete  -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 
Etapa 5
Faça download do certificado vCloud atual para um novo arquivo: new_cloud_cert.crt  
keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crt
Etapa 6
Importe o arquivo de certificado para o truststore 
keytool -import -file new_cloud_cert.crt -alias cloud  -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

Etapa 7
Repita o comando da etapa 1 novamente para confirmar se o novo certificado está instalado  
 # vcp-cli certificate show-trust -a cloud

Exemplo de resultado 
Alias name: cloud 
Creation date: Jul 27, 2022
Entry type: trustedCertEntry

Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
         MD5:  8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
         SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
         SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2
Nota: 
Essa data de criação deve ser a data de hoje, e as datas de impressão digital e do certificado SHA1 devem ser atualizadas. 

Etapa 8
Obtenha o status do nó para obter os nomes de serviço do BG e srv  
vcp-cli node status
Etapa 9
Reinicie os serviços  
systemctl restart vcp-manager.service
sleep 30
vcp-cli srv stop <srv-service-name> -p <master password>
vcp-cli srv start <srv-service-name> -p <master password>
vcp-cli bg stop <bg service name>  -p <master password>
vcp-cli bg start <bg service name> -p <master password>

Etapa 10
Verifique os status 
vcp-cli srv status
vcp-cli bg status

Produtos afetados

Avamar
Propriedades do artigo
Número do artigo: 000198597
Tipo de artigo: Solution
Último modificado: 08 jan. 2026
Versão:  8
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.