NetWorker: AUTHC, "unable to find valid certification path to requested target" in round robin DC ortamında "unable to find valid certification path to requested target" (İstenen hedef için geçerli sertifika yolu bulamıyor) hatası veriyor

摘要: NetWorker AUTHC ile LDAPS (SSL) kimlik doğrulaması üzerinden AD'yi yapılandırmaya çalıştığınızda. SSL için gereken sertifikayı Java/NRE cacerts anahtar deposuna aktarma prosedürü tamamlandıktan sonra harici yetkili kaynağı oluşturulurken bir hata alınıyor: LDAPS sunucusuna bağlanmaya çalışırken bir SSL el sıkışma hatası oluştu: İstenen hedef için geçerli sertifika yolu bulamıyor. Bu KB, DNS/DC yapılandırmasında yuvarlak denemenin ne zaman kullanıldığını gösterir. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

NOT: AD sunucusuna ait CA sertifikasının NetWorker JRE/NRE'ye aktarılması gerekir. AUTHC ve kimlik doğrulama sunucusu arasında SSL iletişimi kurmak için /lib/sercurity/cacerts anahtar deposu.
  • Yapılandırma aşağıdakilerle başarısız olur:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
  • AD sunucusu için bir "diğer ad" kullanıyorsanız bu ad, yuvarlak bir yapılandırmada farklı DC'lere bağlanır. 

原因

Alınan sertifika, FQDN'nin tek seferlik diğer adı olan FQDN'ye bağlı; ancak yapılandırma, tek bir kez deneme yapılandırmasında belirli bir sunucuya SSL bağlamaya çalışıyor. 
Örneğin, "ad-ldap.emclab.local" DNS'de ortamdaki çeşitli DC ana bilgisayarlarını işaretleyen bir yuvarlak deneme diğer adı olarak yapılandırıldığında. Diğer ad kullanılırken sertifikayı openssl ile toplamak, ana bilgisayarlardan ("dc1.emclab.local") biri için sertifikayı yuvarlak deneme yoluyla geri alacaktır

[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
   i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01

Sertifika, "ad-ldap.emclab.local" round robin alias (ad-ldap.emclab.local) kullanılarak JRE/NRE cacerts anahtar deposuna içe aktarıldısa yapılandırma, ad uyuşmazlığı nedeniyle yuvarlak deneme yapılandırmasındaki "dc1.emclab.local" veya diğer herhangi bir sunucuyla eşleşemeyecektir.

解决方案

SSL olmayan (LDAP) bağlantılarda, herhangi bir sertifika kullanmaz ve SSL hatasına neden olmayan bir yuvarlak deneme diğer adı kullanabilirsiniz.
 
NOT: Yuvarlak Deneme, bir ortamdaki yük dengeleme talepleri için yalıtlanabilir. Bu yapılandırma, aynı FQDN'yi kullanan ancak birden çok farklı ana bilgisayar IP'sini işaretleyen birden fazla DNS girişi kullanabilir. Bu, genellikle birden fazla talepçinin isteklerini işleyen web tabanlı uygulamalardaki kullanımlarına sahiptir.

SSL kimlik doğrulamasını kullanmak için sertifika diğer adı, bağlı olduğu ana bilgisayarla eşleşmelidir. Tek seferlik yapılandırmadaki belirli DC ana bilgisayarlarının CA sertifikasını içe aktarın ve Kimlik doğrulama talepleri için NetWorker authc'i yalnızca bu DC'ye işaret etmek üzere yapılandırın; isteğe bağlı olarak, her bir ana bilgisayarın sertifikalarını çevrim içi DC yapılandırmasında içe aktarabilir. Ana bilgisayarla ilgili başlangıçta yapılandırılmış bir sorun varsa sertifikanın zaten içe aktarıldığı diğer DC sunucusuna işaret etmek için yapılandırmayı güncelleştirebilirsiniz.

Bkz. NetWorker: NetWorker Web Kullanıcı Arabiriminden (NWUI) "SSL üzerinden AD" (LDAPS) yapılandırma

其他信息

NetWorker: LDAPS entegrasyonu, "LDAPS sunucusuna bağlanmaya çalışırken SSL el sıkışma hatası oluştu: İstenen hedef için geçerli sertifika yolu bulamıyor"

受影响的产品

NetWorker
文章属性
文章编号: 000187608
文章类型: Solution
上次修改时间: 23 5月 2025
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。