Avamar — 由于云证书无效,Dell Cloud Director Data Protection Extension (DPE) vcpsrv 状态关闭

摘要: DPE:由于 DPE truststore 中的 vcloud 证书无效,vcpsrv 状态显示为关闭 Dell EMC Data Protection Extension 是 VMware vCloud Director 的首个认证数据保护解决方案,也是本机数据保护解决方案。 它扩展了 vCloud Director HTML 5 UI 和 REST API,为租户的虚拟数据中心提供单个管理端点。租户可以管理虚拟机和 vApp 的映像级备份,通过策略或临时甚至文件级还原,还原到新虚拟机或就地还原。 ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

VCP Manager 服务关闭
BG 服务关闭
DPE 无法连接到 vCloud

VCP Manager 日志显示证书错误: 
/var/log/vcp/vcp-manager.log 
2022-04-15 15:31:50,524 [main] ERROR (RestUtil.java:389) - null
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Could not build a validated path.
        at sun.security.ssl.Alert.createSSLException(Unknown Source) ~[?:1.8.0_301]
        at sun.security.ssl.TransportContext.fatal(Unknown Source) ~[?:1.8.0_301]

原因

systemctl restart vcp-manager.service
sleep 30
vcp-cli srv update <srv-service-name from step 8>
vcp-cli bg update <bg service name from step 8>

云中的证书已到期或已更换,DPE 需要导入新的云证书。

解决方案

前提条件:  获取密钥库文件的凭据。  DPE 始终生成随机密码密钥库,因此我们必须使用下面的命令和客户主密码来获取密钥库
    
vcp-cli credential list -p <master_password>
示例输出 
# vcp-cli  credential list -p Changeme_1
getting credentials...
Success

credential:
   component: truststore
   url: /etc/vcp/truststore
   username:
   password: ZM1VnGwRZCLFrrNS

步骤 1
检查 truststore 中的当前证书以查找云证书,查看日期以检查是否已到期,或查看 SHA1 指纹以检查它是否与应用于 vcloud 的当前证书相匹配 
 # vcp-cli certificate show-trust -a cloud

显示当前使用别名云在 truststore 中加载旧 vCloud 证书的输出示例  
Alias name: cloud
Creation date: Sep 8, 2021
Entry type: trustedCertEntry

[..]
Valid from: Wed Mar 24 09:32:46 EDT 2021 until: Sat Apr 23 09:32:45 EDT 2022
Certificate fingerprints:
MD5:  B0:E2:12:5D:46:4D:DC:09:FB:2C:EF:94:7D:29:EB:DF
SHA1: C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8       SHA256:40:67:86:D2:EE:58:72:24:E0:52:88:33:4E:C8:9E:44:9E:B0:24:EE:65:2E:AD:5C:D3:40:97:44:AD:04:48:3B
记下 SHA1 指纹和日期:
在此示例中,在指纹中为:C4:0A:BE:56:D5:25:A1:49:00:94:9E:9D:46:FD:6F:64:1D:59:A7:E8
在此示例中,证书到期时间为:  Sat Apr 23 09:32:45 EDT 2022

步骤 2
使用新的 keytool 命令建立到云的 TLS 连接并获取 SHA1 指纹  
# keytool  -printcert -sslserver <cloud director hostname or ip>:443 -rfc | openssl x509 -noout -fingerprint -dates
示例输出 
SHA1 Fingerprint=94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
notBefore=Dec 29 18:59:49 2021 GMT
notAfter=Dec 29 18:59:49 2022 GMT
如果指纹不匹配或日期已到期。您需要更新 DPE 上的云证书。

步骤 3
制作 truststore 的拷贝 
cp -p /etc/vcp/truststore /etc/vcp/truststore-`date -I`.bkp

步骤 4
要替换 DPE 上 truststore 中的证书,请先删除旧证书 
keytool -delete  -alias cloud -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 
步骤 5
将当前 vCloud 证书下载到新文件:new_cloud_cert.crt  
keytool -printcert -rfc -sslserver <Cloud_hostname>:443 > new_cloud_cert.crt
步骤 6
将证书文件导入到 truststore 
keytool -import -file new_cloud_cert.crt -alias cloud  -keystore /etc/vcp/truststore -storepass <keystore_passphrase> 

步骤 7
再次重复步骤 1 中的命令,以确认已安装新证书  
 # vcp-cli certificate show-trust -a cloud

示例输出 
Alias name: cloud 
Creation date: Jul 27, 2022
Entry type: trustedCertEntry

Owner: CN=vcd.example.lab
Issuer: CN=vcd.example.lab
Serial number: 7e29bef2a5652b7a
Valid from: Wed Dec 29 13:59:49 EST 2021 until: Thu Dec 29 13:59:49 EST 2022
Certificate fingerprints:
         MD5:  8A:5A:D1:09:AE:C8:D9:94:B6:B9:D3:A5:E9:BD:AA:07
         SHA1: 94:2F:74:56:9C:19:61:2D:7E:24:60:4A:8A:2F:89:D7:31:34:19:A4
         SHA256: 38:88:0F:5F:C1:8C:BB:F0:D9:64:40:72:D9:59:35:5E:2B:72:BB:50:2F:88:3B:B0:8D:4C:D5:16:56:35:19:E2
提醒:
此创建日期应为今天日期,并且 SHA1 指纹和证书日期应更新。

步骤 8
获取节点状态以获取 BG 和 srv 的服务名称  
vcp-cli node status
步骤 9
重新启动服务  
systemctl restart vcp-manager.service
sleep 30
vcp-cli srv stop <srv-service-name> -p <master password>
vcp-cli srv start <srv-service-name> -p <master password>
vcp-cli bg stop <bg service name>  -p <master password>
vcp-cli bg start <bg service name> -p <master password>

步骤 10
检查状态 
vcp-cli srv status
vcp-cli bg status

受影响的产品

Avamar
文章属性
文章编号: 000198597
文章类型: Solution
上次修改时间: 08 1月 2026
版本:  8
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。