Problemy z certyfikatami

 

Opublikowano: marzec 2016

Dotyczy: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

W tym temacie opisano rozwiązania problemów z certyfikatami dotyczące monitorowania komputerów z systemem UNIX lub Linux.

Komunikat o błędzie podpisywania certyfikatu

Podczas instalacji agentów UNIX/Linux może zostać wyświetlony następujący błąd:

Event Type:        Error
Event Source:    Cross Platform Modules
Event Category:                None
Event ID:              256
Date:                     4/1/2009
Time:                     4:02:27 PM
User:                     N/A
Computer:          COMPUTER1
Description:
Unexpected ScxCertLibException: Can't decode from base64
; input data is: 

Ten błąd występuje, kiedy moduł podpisywania certyfikatu zostaje wywołany, ale sam certyfikat jest pusty. Błąd ten może być spowodowany błędem połączenia SSH z systemem zdalnym.

W razie wystąpienia tego błędu wykonaj następujące czynności:

1. Upewnij się, że na hoście zdalnym jest uruchomiony demon SSH.

2. Upewnij się, że jesteś w stanie otworzyć sesję SSH z hostem zdalnym z wykorzystaniem poświadczeń określonych w Kreatorze odnajdywania.

3. Upewnij się, że wśród poświadczeń określonych w Kreatorze odnajdywania znajdują się wymagane uprawnienia do odnajdywania. Więcej informacji można znaleźć w temacie Wymagane możliwości dla kont w systemach UNIX i Linux.

Nazwa certyfikatu i nazwa hosta nie są ze sobą zgodne

Nazwa pospolita (CN) użyta w certyfikacie musi się zgadzać z w pełni kwalifikowaną nazwą domeny (FQDN) rozpoznawaną przez program Operations Manager. Jeśli nazwa pospolita nie jest zgodna, po uruchomieniu Kreatora odnajdywania zostanie wyświetlony następujący błąd:

The SSL certificate contains a common name (CN) that does not match the hostname

Na komputerze z systemem UNIX lub Linux można wyświetlić podstawowe szczegóły certyfikatu, wprowadzając następujące polecenie:

openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates

Zobaczysz wówczas dane wyjściowe podobne do następujących:

subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
notBefore=Mar 25 05:21:18 2008 GMT
notAfter=Mar 20 05:21:18 2029 GMT

Sprawdź poprawność nazw hostów i dat i upewnij się, że są one zgodne z nazwą rozpoznawaną przez serwer zarządzania programu Operations Manager.

Jeśli nazwy hostów nie są zgodne, w celu rozwiązania problemu wykonaj jedną z następujących czynności:

• Jeśli nazwa hosta UNIX lub Linux jest prawidłowa, ale serwer zarządzania programu Operations Manager rozpoznaje ją nieprawidłowo, zmodyfikuj wpis DNS tak, by był zgodny z właściwą nazwą FQDN, albo dodaj odpowiedni wpis do pliku hosts na serwerze programu Operations Manager.

• Jeśli nazwa hosta UNIX lub Linux jest nieprawidłowa, wykonaj jedną z następujących czynności:

  • Zmień nazwę hosta UNIX lub Linux na prawidłową i utwórz nowy certyfikat.

  • Utwórz nowy certyfikat z żądaną nazwą hosta.

Aby zmienić nazwę na certyfikacie:

Jeśli certyfikat został utworzony z nieprawidłową nazwą, można zmienić nazwę hosta i ponownie utworzyć certyfikat wraz z kluczem prywatnym. W tym celu na komputerze z systemem UNIX lub Linux uruchom następujące polecenie:

/opt/microsoft/scx/bin/tools/scxsslconfig -f -v

Opcja –f wymusza zastąpienie plików w katalogu /etc/opt/microsoft/scx/ssl.

Można także zmienić nazwę hosta i nazwę domeny na certyfikacie, używając przełączników –h i –d, jak pokazano w poniższym przykładzie:

/opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>

Uruchom ponownie agenta przy użyciu następującego wiersza polecenia:

/opt/microsoft/scx/bin/tools/scxadmin -restart

Aby dodać wpis w pliku hosts:

Jeśli nazwy FQDN nie ma w odwrotnej translacji nazw DNS (Reverse DNS), można w celu zapewnienia rozpoznawania tej nazwy dodać odpowiedni wpis w pliku hosts znajdującym się na serwerze zarządzania. Plik hosts znajduje się w folderze \Windows\System32\Drivers\etc. Wpis w pliku hosts stanowi kombinację adresu IP i nazwy FQDN.

Aby na przykład dodać wpis dla hosta o nazwie „newhostname.newdomain.name” i adresie IP 192.168.1.1, dodaj następujący wiersz na końcu pliku hosts:

192.168.1.1     newhostname.newdomain.name

Zobacz też

Dodatkowe monitorowanie systemów UNIX i Linux za pomocą szablonów
Rozwiązywanie problemów z monitorowaniem w systemach UNIX i Linux
Accessing UNIX and Linux Computers in Operations Manager (Uzyskiwanie dostępu do komputerów z systemem UNIX i Linux w programie Operations Manager)
Wymagane możliwości dla kont w systemach UNIX i Linux
Problemy dotyczące pakietów administracyjnych
Problemy z systemem operacyjnym
Rejestrowanie i debugowanie
Zarządzanie certyfikatami na komputerach z systemami UNIX i Linux
Managing Resource Pools for UNIX and Linux Computers (Zarządzanie pulami zasobów dla komputerów z systemem UNIX i Linux)
Instalowanie agenta w systemach UNIX i Linux za pomocą kreatora odnajdywania