Zertifikatsprobleme
Veröffentlicht: März 2016
Betrifft: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
In diesem Thema werden Lösungen für Zertifikatsprobleme bereitgestellt, die bei der Überwachung von UNIX- oder Linux-Computern auftreten können.
Fehler bei der Zertifikatsignierung
Bei der Installation von UNIX/Linux-Agents wird möglicherweise die folgende Fehlermeldung angezeigt:
Event Type: Error
Event Source: Cross Platform Modules
Event Category: None
Event ID: 256
Date: 4/1/2009
Time: 4:02:27 PM
User: N/A
Computer: COMPUTER1
Description:
Unexpected ScxCertLibException: Can't decode from base64
; input data is:
Dieser Fehler tritt auf, wenn der Aufruf des Zertifikatsignaturmoduls mit einem leeren Zertifikat erfolgt. Ursache hierfür kann z. B. eine fehlerhafte SSH-Verbindung mit dem Remotesystem sein.
Gehen Sie folgendermaßen vor, wenn dieser Fehler angezeigt wird:
Stellen Sie sicher, dass der SSH-Daemon auf dem Remotehost ausgeführt wird.
Stellen Sie sicher, dass Sie eine SSH-Remotehostsitzung mithilfe der im Ermittlungs-Assistenten angegebenen Anmeldeinformationen starten können.
Stellen Sie sicher, dass die im Ermittlungs-Assistenten angegebenen Anmeldeinformationen über ausreichende Berechtigungen für die Ermittlung verfügen. Weitere Informationen finden Sie unter Erforderliche Eigenschaften von UNIX- und Linux-Konten.
Zertifikat- und Hostname stimmen nicht überein
Der im Zertifikat verwendete allgemeine Name (CN) muss mit dem voll qualifizierten Domänennamen (FQDN) übereinstimmen, der von Operations Manager aufgelöst wird. Ist dies nicht der Fall, wird bei Ausführung des Ermittlungs-Assistenten der folgende Fehler angezeigt:
The SSL certificate contains a common name (CN) that does not match the hostname
Sie können die wichtigsten Zertifikatdetails auf dem UNIX- oder Linux-Computer anzeigen, indem Sie den folgenden Befehl eingeben:
openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates
Daraufhin werden Informationen der folgenden Art angezeigt:
subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
notBefore=Mar 25 05:21:18 2008 GMT
notAfter=Mar 20 05:21:18 2029 GMT
Überprüfen Sie die Hostnamen und Daten, und stellen Sie sicher, dass sie dem Namen entsprechen, der vom Operations Manager-Verwaltungsserver aufgelöst wird.
Führen Sie, falls die Hostnamen nicht übereinstimmen sollten, eine der folgenden Aktionen aus, um das Problem zu beheben:
Wenn der UNIX- oder Linux-Hostname richtig angegeben ist, vom Operations Manager-Verwaltungsserver jedoch nicht ordnungsgemäß aufgelöst werden kann, können Sie entweder den DNS-Eintrag so bearbeiten, dass er dem richtigen FQDN entspricht, oder einen Eintrag zur Hostdatei auf dem Operations Manager-Server hinzufügen.
Wenn der UNIX- oder Linux-Hostname fehlerhaft ist, führen Sie einen der folgenden Schritte aus:
Korrigieren Sie den Hostnamen auf dem UNIX- oder Linux-Host, und erstellen Sie ein neues Zertifikat.
Erstellen Sie ein neues Zertifikat mit dem gewünschten Hostnamen.
So ändern Sie den Namen des Zertifikats
Wenn das Zertifikat mit einem falschen Namen erstellt wurde, können Sie den Hostnamen ändern und das Zertifikat sowie den privaten Schlüssel erneut erstellen. Führen Sie hierzu den folgenden Befehl auf dem UNIX- oder Linux-Computer aus:
/opt/microsoft/scx/bin/tools/scxsslconfig -f -v
Mit der Option –f werden die Dateien unter "/etc/opt/microsoft/scx/ssl" überschrieben.
Mithilfe der Switches –h und –d können Sie außerdem den im Zertifikat angegebenen Host- bzw. Domänennamen ändern, wie im folgenden Beispiel dargestellt:
/opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>
Starten Sie den Agent neu, indem Sie den folgenden Befehl ausführen:
/opt/microsoft/scx/bin/tools/scxadmin -restart
So fügen Sie einen Eintrag zur Hostdatei hinzu:
Sofern es sich bei dem FQDN nicht um einen Reversenamen handelt, können Sie für die Namensauflösung einen Eintrag zur Hostdatei hinzufügen, welche sich auf dem Verwaltungsserver befindet. Die Hostdatei befindet sich im Ordner "\Windows\System32\Drivers\etc". Einträge in der Hostdatei setzen sich aus der IP-Adresse und dem FQDN zusammen.
Wollen Sie beispielsweise einen Eintrag für den Host mit der Bezeichnung „newhostname.newdomain.name“ mit 192.168.1.1 als IP-Adresse hinzufügen, müssen Sie Folgendes am Ende der Hostdatei hinzufügen:
192.168.1.1 newhostname.newdomain.name
Siehe auch
Verwenden von Vorlagen für die umfassendere Überwachung von UNIX- und Linux-Computern
Behandeln von Problemen bei der UNIX- und Linux-Überwachung
Accessing UNIX and Linux Computers in Operations Manager (Zugriff auf UNIX- und Linux-Computer in Operations Manager)
Erforderliche Eigenschaften von UNIX- und Linux-Konten
Management Pack-Probleme
Betriebssystemprobleme
Protokollierung und Debuggen
Verwalten von Zertifikaten für UNIX und Linux-Computer
Managing Resource Pools for UNIX and Linux Computers (Verwalten von Ressourcenpools für UNIX- und Linux-Computer)
Agentinstallation unter UNIX und Linux mithilfe des Ermittlungs-Assistenten