Tanúsítványproblémák

 

Közzétett: 2016. március

Érvényes: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Ez a témakör megoldásokat mutat be a UNIX és Linux rendszerű számítógépek figyelésével kapcsolatos tanúsítványproblémákra.

Tanúsítvány-aláírási hibaüzenet

A UNIX-/Linux-ügynök telepítése során láthatja az alábbi hibaüzenetet.

Event Type:        Error
Event Source:    Cross Platform Modules
Event Category:                None
Event ID:              256
Date:                     4/1/2009
Time:                     4:02:27 PM
User:                     N/A
Computer:          COMPUTER1
Description:
Unexpected ScxCertLibException: Can't decode from base64
; input data is: 

Ez a hiba akkor következik be, ha a rendszer a tanúsítvány-aláírási modult meghívja, de a tanúsítvány maga üres. Ez a hiba a távoli rendszer felé menő SSH-kapcsolat hibájához vezet.

Ezt a hibát látva az alábbiakat tegye:

  1. Ellenőrizze, hogy a távoli gazdagépen fut-e az SSH-démon.

  2. Ellenőrizze, hogy a Felderítés varázslóban megadott hitelesítési adatokkal megnyithat-e SSH-munkamenetet a távoli gazdagépen.

  3. Ellenőrizze, hogy a Felderítés varázslóban megadott hitelesítési adatok rendelkeznek-e a felderítéshez szükséges jogosultságokkal. További információk: A UNIX- és Linux-fiókok szükséges képességei.

A tanúsítvány neve és a gazdagép neve nem egyedik meg

A tanúsítványban használt egyszerű névnek (common name, CN) teljesen meg kell egyeznie az Operations Manager által feloldott teljes tartománynévvel (fully qualified domain name, FQDN).  Ha az egyszerű név ezzel nem egyezik, akkor a következő hibaüzenetet fogja látni a Felderítés varázslóban:

The SSL certificate contains a common name (CN) that does not match the hostname

A UNIX és Linux rendszerű számítógépen a tanúsítvány alapvető adatait a következő parancs kiadásával tekintheti meg:

openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates

Ezt elvégezve az alábbihoz hasonló kimenetet fog látni:

subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
notBefore=Mar 25 05:21:18 2008 GMT
notAfter=Mar 20 05:21:18 2029 GMT

Érvényesítse a gazdagép nevét és adatait, és győződjön meg arról, hogy ezek megegyeznek az Operations Manager felügyeleti kiszolgáló által feloldott névvel.

Ha a gazdagép neve nem egyezik, a probléma megoldásához végezze el az alábbi műveletek egyikét:

  • Ha a UNIX vagy Linux gazdagép neve helyes és az Operations Manager felügyeleti kiszolgáló névfeloldása helytelen, akkor vagy módosítsa a DNS-bejegyzést úgy, hogy az megfeleljen a helyes teljes tartománynévnek, vagy pedig adjon hozzá egy bejegyzést az állomásleíró fájlhoz az Operations Manager kiszolgálón.

  • Ha a UNIX vagy Linux gazdagép neve helytelen, tegye az alábbiak egyikét:

    • Módosítsa a UNIX vagy Linux gazdagép nevét a helyes névre, majd hozzon létre egy új tanúsítványt.

    • Hozzon létre egy új tanúsítványt a kívánt gazdagépnévvel.

A tanúsítványon szereplő név módosítása:

Ha a tanúsítványt helytelen névvel hozták létre, módosíthatja a gazdagép nevét, majd újra létrehozhatja a tanúsítványt és a magán kulcsot. Ehhez a UNIX és Linux rendszerű számítógépen futtassa a következő parancsot:

/opt/microsoft/scx/bin/tools/scxsslconfig -f -v

Az –f kapcsoló kényszeríti az /etc/opt/microsoft/scx/ssl útvonalon elérhető fájlok felülírását.

A tanúsítványon szereplő gazdagép nevét és tartományát a –h és –d kapcsolókkal, az alábbi példában látható módon változtathatja meg:

/opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>

Indítsa újra az ügynököt a következő parancs futtatásával:

/opt/microsoft/scx/bin/tools/scxadmin -restart

Bejegyzés hozzáadása az állomásleíró fájlhoz:

Ha a teljes tartománynév nincs a címfeloldási DNS-ben, akkor a névfeloldás biztosítása érdekében hozzáadhat egy bejegyzést a felügyeleti kiszolgálón található állomásleíró fájlhoz. A gazdagépek fájl a \Windows\System32\Drivers\etc mappában található. Az állomásleíró fájlban található bejegyzések az IP-címből és a teljes tartománynévből állnak.

Ha például a bejegyzésben az „újgazdagépneve.újtartomány.név” nevű és 192.168.1.1 IP-című gazdagépet akarja hozzáadni, akkor adja hozzá az alábbiakat az állomásleíró fájl végéhez:

192.168.1.1     newhostname.newdomain.name