NetWorker: LDAPS-integrering mislykkes med «Det oppsto en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: Unable to find valid certification path to requested target» (Finner ikke gyldig sertifiseringsbane til forespurt mål)
Сводка: Du prøver å kjøre authc_config kommando/skript for å legge til ekstern AD/LDAPS-godkjenning med NetWorker. LDAPS CA-sertifikatet ble importert til JAVA Cacerts-nøkkellageret, men får feilmeldingen «Det oppsto en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: finner ikke gyldig sertifiseringsbane til forespurt mål» ...
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
Følgende betegner forholdene som resulterer i feilmeldingen:
«Det oppsto en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble
«Det oppsto en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble til LDAPS-serveren: unable to find valid certification path to requested target» (En SSL-håndtrykkfeil oppstod under forsøk på å koble
- Du prøver å kjøre authc_config kommando/skript for å legge til ekstern AD/LDAPS-godkjenning med NetWorker
- Du kan integrere AD/LDAP (ikke-SSL) med NetWorker, Problemet oppstår bare når du integrerer SSL (LDAPS)
- LDAPS CA-sertifikatet ble importert til JAVA Cacerts-nøkkellageret.
- Du bruker en «sertifikatkjede» i miljøet ditt.
Причина
I henhold til NetWorker: Slik konfigurerer du LDAPS-godkjenning.Du må importere CA-sertifikatet fra LDAPS-serveren i Java Trust-nøkkellageret på NetWorker-serveren for å kunne konfigurere ekstern LDAPS-godkjenning.
Dette problemet oppstår fordi bare kjedesertifikatet ble importert til Java Trust-nøkkellageret. For en sertifikatkjede bør alle sertifikatene i kjeden importeres riktig til Java-nøkkellageret i riktig kjederekkefølge (lavere kjede til rotsertifikat). Ethvert problem med import av sertifikatet vil føre til at sertifikatbekreftelsen mislykkes.
Dette identifiseres når du kjører Openssl-kommandoen fra NetWorker-serveren til LDAPS-serveren:
Dette problemet oppstår fordi bare kjedesertifikatet ble importert til Java Trust-nøkkellageret. For en sertifikatkjede bør alle sertifikatene i kjeden importeres riktig til Java-nøkkellageret i riktig kjederekkefølge (lavere kjede til rotsertifikat). Ethvert problem med import av sertifikatet vil føre til at sertifikatbekreftelsen mislykkes.
Dette identifiseres når du kjører Openssl-kommandoen fra NetWorker-serveren til LDAPS-serveren:
OPENSSL_INSTALL_PATH\bin> openssl s_client -showcerts -connect ldaps-server.lab.emc.local:636 CONNECTED(00000124) depth=1 DC = LOCAL, DC = EMC, DC = LAB, CN = LDAPS-SERVER --- Certificate chain 0 s:/CN=LDAPS-SERVER.LAB.EMC.LOCAL i:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER -----BEGIN CERTIFICATE----- << removed for brevity >> -----END CERTIFICATE----- 1 s:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER i:/CN=ROOTCA-SERVER -----BEGIN CERTIFICATE----- << removed for brevity >> -----END CERTIFICATE-----
Разрешение
MERK: Ett av de siste trinnene i denne prosedyren omfatter omstart av NetWorker-servertjenesten, slik at sertifikatene som importeres til Cacerts-nøkkellageret, leses ved oppstart av godkjenning. Kontroller at ingen jobber kjører før du utfører følgende handlinger.
Følg fremgangsmåten nedenfor for å løse sertifikatfeilen:
1. Fjern eventuelle tidligere importerte sertifikater fra Java Cacerts Trust-nøkkellageret.
MERK: Hvis du har importert sertifikatene til NetWorker authc.truststore og/eller authc.keystore, må de slettes.
Prosessene i denne KB-en utnytter Java Keytool-kommandoen . Det kan være nødvendig å endre katalog (cd) til Java Bin-katalogen. Dette kan variere avhengig av Java-installasjonen og -operativsystemet. Du finner keytool-kommandoen i bin-katalogen for Java-installasjoner. De fleste NetWorker-implementeringer bruker NetWorker Runtime Environment (NRE) for Java.
- Linux: /opt/nre/java/latest/bin
- Windows: C:\Programfiler\NRE\java\jre#.#.#_###\bin
JAVA_INSTALL_PATH\bin> keytool -list -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit | findstr LDAPS-SERVER
ldaps-server, DATE-IMPORTED, trustedCertEntry,
JAVA_INSTALL_PATH\bin> keytool -list -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit | findstr ROOTCA-SERVER
rootca-server, DATE-IMPORTED, trustedCertEntry,
- LDAPS-SERVER og ROOTCA-SERVER er bare eksempler. Du må erstatte disse verdiene med aliaser som samsvarer med LDAPS-serveren og rot-CA-serveren (vanligvis brukes vertsnavnet).
- Selv om sertifikatene ikke vises når du bruker findstr/grep. Review the output without narrowing the results to confirm there are no aliases for your LDAPS server AND/OR your root CA server. findstr was used for brevity in the above example (Finn utdata uten å begrense resultatene for Å bekrefte at det ikke finnes aliaser for LDAPS-serveren OG/ELLER rot-CA-serveren. Findstr ble brukt for kortfattethet i eksemplet ovenfor).
- Standardpassord for Java Cacerts Trust-nøkkellageret er «changeit».
- Bytt ut JAVA_INSTALL_PATH med hele banen til Java-installasjonen.
- Hvis du vil fjerne sertifikatene fra authc.truststore og/eller authc.keystore, angir du hele banen til disse filene for -keystore og NetWorker authc-passordet for -storepass. NetWorker authc keystore-passordet konfigureres under installasjon av NetWorker.
- Linux:
- /opt/nsr/authc-server/conf/authc.truststore
- /nsr/authc/conf/authc.keystore
- Windows:
- C:\Programfiler\EMC NetWorker\nsr\authc-server\conf\authc.truststore
- C:\Programfiler\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
- Linux:
Hvis et sertifikat vises, må du slette det (ellers går du til neste trinn):
keytool -delete -alias ALIAS_NAME -keystore "PATH_TO_CACERTS_FILE" -storepass PASSWORD
Eksempel:
JAVA_INSTALL_PATH\bin> keytool -delete -alias LDAPS-SERVER -keystore ..\lib\security\cacerts -storepass changeit
JAVA_INSTALL_PATH\bin> keytool -delete -alias ROOTCA-SERVER -keystore ..\lib\security\cacerts" -storepass changeit
2. Koble til LDAPS-serveren ved hjelp av openssl:
openssl s_client -showcerts -connect LDAPS_SERVER:636
Eksempel:
OPENSSL_INSTALL_PATH\bin> openssl s_client -showcerts -connect ldaps-server.lab.emc.local:636
CONNECTED(00000124)
depth=1 DC = LOCAL, DC = EMC, DC = LAB, CN = LDAPS-SERVER
---
Certificate chain
0 s:/CN=LDAPS-SERVER.LAB.EMC.LOCAL
i:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER
-----BEGIN CERTIFICATE-----
<< removed for brevity >>
-----END CERTIFICATE-----
1 s:/DC=LOCAL/DC=EMC/DC=LAB/CN=ROOTCA-SERVER
i:/CN=ROOTCA-SERVER
-----BEGIN CERTIFICATE-----
<< removed for brevity >>
-----END CERTIFICATE-----
MERK: Windows har vanligvis ikke OpenSSL installert som standard. Linux gjør det imidlertid. Hvis du har et Linux-system i miljøet ditt, kan du bare bruke dette systemet til å samle inn SSL-sertifikatinformasjonen med OpenSSL. Hvis ikke, må du kontrollere om OpenSSL kan installeres på Windows NetWorker-serveren.
3, a. Kopier kjedesertifikatet, inkludert -----BEGIN CERTIFICATE----- header og -----END CERTIFICATE----- bunnteksten til en tekstfil, f.eks. chain.cer
3, b. Kopier rotsertifikatet, inkludert -----BEGIN CERTIFICATE----- header og -----END CERTIFICATE------bunnteksten i en tekstfil, f.eks. root.cer
4. Importer kjedesertifikatet til Java Cacerts Trust-nøkkellageret, og importer deretter alle sertifikater som fører opp til rotsertifikatet:
Eksempel:
JAVA_INSTALL_PATH\bin> keytool -import -alias LDAPS-SERVER -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit -file "PATH_TO\chain.cer"
<< removed for brevity >>
Trust this certificate? [no]: y
Certificate was added to keystore
JAVA_INSTALL_PATH\bin> keytool -import -alias ROOTCA-SERVER -keystore "JAVA_INSTALL_PATH\lib\security\cacerts" -storepass changeit -file "PATH_TO\root.cer"
<< removed for brevity >>
Trust this certificate? [no]: y
Certificate was added to keystore
- Bytt ut aliasverdiene med aliaser som samsvarer med miljøet ditt, for eksempel vertsnavnet til LDAPS- og CA-serveren.
- Bytt ut PATH_TO med hele banen til plasseringen av filene du opprettet for chain.cer og root.cer.
- Kontroller at det ikke blir utgitt flere feil under importen.
5. Start NetWorker-tjenestene på nytt. Authc-tjenesten leser cacerts-nøkkellageret ved oppstart:
Linux: nsr_shutdown
systemctl start networker
Windows: net stop nsrd /y && net start nsrd
ADVARSEL: Hvis NetWorker-tjenestene ikke startes på nytt, blir ikke sertifikatendringene lest, og problemet vedvarer.
6. Fullfør LDAPS-integreringen:
NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
Networker: Slik konfigurerer du LDAPS-godkjenning.
Дополнительная информация
Затронутые продукты
NetWorkerПродукты
NetWorkerСвойства статьи
Номер статьи: 000173094
Тип статьи: Solution
Последнее изменение: 23 May 2025
Версия: 5
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.