Problemen met RHUI-certificaten in Azure oplossen
In dit artikel worden veelvoorkomende problemen in de Red Hat Update Infrastructure (RHUI) besproken die worden veroorzaakt door verlopen of ontbrekende TLS- of SSL-certificaten (Secure Sockets Layer Layer).
Vereisten
SSH-toegang tot de bijbehorende RED Hat Enterprise Linux (RHEL) Pay-As-You-Go (PAYG) virtuele machine (VM) in Azure.
Hoofdbevoegdheden.
Belangrijk
RHUI is alleen bedoeld voor afbeeldingen met betalen per gebruik. Gebruikt u in plaats hiervan aangepaste of gouden afbeeldingen (ook wel bring-your-own-subscription (BYOS) genoemd? In dat geval moet het systeem worden gekoppeld aan Red Hat Subscription Manager (RHSM) of Satellite om updates te ontvangen. Zie Een RHEL-systeem registreren en abonneren op de Red Hat-klantportal met behulp van RHSM voor meer informatie.
Opmerking
- Vanaf 12 oktober 2023 zijn alle pay-as-you-go-clients gefaseerd omgeleid naar de Red Hat Update Infrastructure (RHUI) 4 IP-adressen. De RHUI-3 IP-adressen blijven beschikbaar voor voortdurende updates, maar worden in de toekomst verwijderd. Om ononderbroken toegang tot pakketten en updates te garanderen, moet u bestaande routes en regels bijwerken die toegang tot RHUI-3 IP-adressen toestaan met RHUI-4 IP-adressen. Als u echter updates wilt blijven ontvangen tijdens deze overgangsperiode, moet u RHUI-3 IP-adressen niet verwijderen.
- Vanaf januari 2020 gebruiken de nieuwe Installatiekopieën van de Amerikaanse overheid van Azure de openbare IP-adressen die eerder zijn vermeld onder de Azure Global-header.
Oorzaak 1: RHUI-clientcertificaat is verlopen
De Azure RHUI-certificaten verlopen doorgaans om de twee jaar. Als u een oudere RHEL VM-installatiekopieën gebruikt, zoals RHEL versie 7.4 (URN van installatiekopieën: RedHat:RHEL:7.4:7.4.2018010506
), ondervindt u een verminderde verbinding met RHUI vanwege een nu verlopen TLS/SSL-clientcertificaat. U kunt bijvoorbeeld een van de volgende foutberichten ontvangen:
"SSL-peer heeft uw certificaat geweigerd als verlopen"
"Fout: kan metagegevens van opslagplaats (repomd.xml) niet ophalen voor opslagplaats:_... Controleer het pad en probeer het opnieuw'
U moet een proces toepassen om te voorkomen dat certificaten verlopen in oude afbeeldingen of installatiekopieën die vlak voor de vervaldatum van een certificaat zijn gemaakt.
Oplossing 1: het RHUI-clientpakket bijwerken
Gebruik RHUI voor toegang tot RHEL-opslagplaatsen op systemen met betalen per gebruik in cloudomgevingen. Als cloudprovider kan Azure op elk gewenst moment nieuwere rpm-versies voor clientconfiguraties maken en publiceren, bijvoorbeeld voor de volgende taken:
- Toegang verlenen tot een nieuwe opslagplaats.
- Certificaten vernieuwen.
- Andere verpakkingswijzigingen aanbrengen.
In dit geval moet u het nieuwe RHUI-pakket in het systeem installeren. Dit pakket heeft het vernieuwde certificaat. Voer de yum-opdracht uit om het RHUI-pakket bij te werken:
sudo yum update -y --disablerepo='*' --enablerepo='*microsoft*'
Met de sudo yum update
opdracht kan ook het clientcertificaatpakket worden bijgewerkt (afhankelijk van uw RHEL-versie). Dit geldt zelfs als de uitvoer van de opdracht dezelfde verlopen SSL-certificaatfouten bevat die u ziet voor andere opslagplaatsen. Als deze update is geslaagd, moet u de normale verbinding met andere RHUI-opslagplaatsen herstellen, zodat u een tweede keer met succes kunt uitvoeren sudo yum update
.
Als u de fout '404' krijgt wanneer u uitvoert yum update
, probeert u de volgende opdrachten uit te voeren om uw yum-cache te vernieuwen:
sudo yum clean all
sudo yum makecache
Oorzaak 2: RHUI-certificaat ontbreekt
Op de Azure Red Hat Linux-VM is het RHUI Azure-pakket al geïnstalleerd. Het certificaat ontbreekt echter in de map /etc/pki/rhui/product/ .
Als het RHUI-certificaat per ongeluk van de VM is verwijderd, wordt het volgende foutbericht weergegeven wanneer u probeert een pakket te installeren of bij te werken:
sudo yum install <package-name>
Red Hat Enterprise Linux X for x86_64 - XXXX 0.0 B/s | 0 B 00:00
Errors during downloading metadata for repository 'rhel-X-for-x86_64-XXXX-eus-rhui-rpms':
- Curl error (58): Problem with the local SSL certificate for https://rhui-3.microsoft.com/pulp/repos/content/eus/rhel8/rhui/X.X/x86_64/XXXXX/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:02001002:system library:fopen:No such file or directory, (no key found, wrong pass phrase, or wrong file format?)]
Oplossing 2: installeer het EUS-, niet-EUS- of SAP RHUI-pakket opnieuw
Installeer het bijbehorende RHUI-pakket opnieuw om de ontbrekende certificaten op de juiste locatie opnieuw te genereren.
Alle opdrachten in de volgende stappen moeten worden uitgevoerd met behulp van basisbevoegdheden of door op te sudo
geven:
Controleer of het
rhui-azure
pakket (EUS
,non-EUS
, ofSAP/E4S
) is geïnstalleerd met behulp van de volgende opdracht:sudo rpm -qa | grep -i azure
rhui-azure-rhelX-<>-X.X-XXX.noarch
Zie de gekoppelde secties van de volgende artikelen voor meer informatie over uitgebreide updateondersteuning (EUS) of niet-EUS RHUI-pakketten.
Pakkettype Koppelen EUS RHUI-pakketten Red Hat-installatiekopieën die zijn verbonden met EUS-opslagplaatsen Niet-EUS RHUI-pakketten Red Hat-installatiekopieën die zijn verbonden met niet-EUS-opslagplaatsen Update Services voor SAP Solutions-abonnementen (SAP/E4S) RHUI-pakketten Red Hat-installatiekopieën die zijn verbonden met SAP/E4S-opslagplaatsen Controleer of het certificaat bestaat:
sudo ls -l /etc/pki/rhui/product/
Opmerking
In dit scenario ontdekt u dat het bestand ontbreekt.
Installeer het bijbehorende
rhui-azure
pakket opnieuw door de opdracht uit teyum reinstall
voeren:sudo yum reinstall $(rpm -qa | grep -i rhui-azure) --disablerepo=* --enablerepo="*microsoft*"
Als de
EUS
opslagplaats ofE4S
is geïnstalleerd, vergrendelt u dereleasever
variabele:sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever
Controleer of het certificaat bestaat door de
ls
opdracht opnieuw uit te voeren. Het certificaatbestand moet nu worden weergegeven:sudo ls -l /etc/pki/rhui/product/
Oorzaak 3: RHUI-pakket ontbreekt
Het RHUI EUS-, niet-EUS- of SAP/E4S-pakket ontbreekt in de Red Hat-VM, maar de opslagplaatsconfiguratiebestanden bestaan nog steeds in de map /etc/yum.repos.d/ .
Wanneer u probeert een pakket te installeren of bij te werken, ontvangt u het volgende foutbericht:
sudo yum install <package-name>
Red Hat Enterprise Linux X for x86_64 - XXXX 0.0 B/s | 0 B 00:00
Errors during downloading metadata for repository 'rhel-X-for-x86_64-XXXX-XXX-rhui-rpms':
- Curl error (58): Problem with the local SSL certificate for https://rhui-3.microsoft.com/pulp/repos/content/eus/rhel8/rhui/X.X/x86_64/XXXXX/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:02001002:system library:fopen:No such file or directory, (no key found, wrong pass phrase, or wrong file format?)]
Oplossing 3: Installeer het EUS-, niet-EUS- of SAP/E4S RHUI-pakket
Installeer het ontbrekende RHUI-pakket voor EUS, niet-EUS of SAP/E4S.
Alle volgende opdrachten moeten worden uitgevoerd met behulp van basisbevoegdheden of door op te sudo
geven.
Installatie van EUS RHUI-pakket
Voer de
yum install
opdracht uit om hetrhui-azure-rhel7-eus
pakket te installeren:sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7-eus.config' install 'rhui-azure-rhel7-eus'
De variabele vergrendelen
releasever
:sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever
Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven door de opdracht uit te
yum repolist
voeren:sudo yum repolist all
Opmerking
Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X
opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:
sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X
Vervang rhui-microsoft-azure-rhelX-X-X-X
en rhui-azure-rhel-X-X-X
dienovereenkomstig.
Installatie van niet-EUS RHUI-pakket
Verwijder het releasever-bestand als het bestaat.
sudo rm /etc/yum/vars/releasever
Installeer het
rhui-azure-rhel7
pakket door de opdracht uit teyum install
voeren:sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7.config' install 'rhui-azure-rhel7'
Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven door de opdracht uit te
yum repolist
voeren:sudo yum repolist all
Opmerking
Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X
opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:
sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X
Vervang rhui-microsoft-azure-rhelX-X-X-X
en rhui-azure-rhel-X-X-X
dienovereenkomstig.
INSTALLATIE VAN RHEL 7 SAP/E4S/HANA RHUI-pakket
Selecteer het tabblad van een SAP-afbeeldingstype om de bijbehorende instructies te bekijken.
- RHEL 7. x - RHEL-SAP-APPS
- RHEL 7.9 - RHEL-SAP-APPS
- RHEL 7. x - RHEL-SAP (oude aanbieding)
- RHEL 7. x - RHEL-SAP-HA (E4S)
- RHEL 7.9 - RHEL-SAP-HA
De volgende stappen zijn van toepassing als de versie van het besturingssysteem ouder is dan RHEL 7.9 en de VM is gemaakt met behulp van de installatiekopieën van de RHEL-SAP-APPS
aanbieding.
Installeer het
rhui-azure-rhel7-sapapps
pakket door de opdracht uit teyum install
voeren:sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7-sapapps.config' install rhui-azure-rhel7-sapapps
De variabele vergrendelen
releasever
:sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever
Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven door de opdracht uit te
yum repolist
voeren:sudo yum repolist all
Opmerking
Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X
opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:
sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X
Vervang rhui-microsoft-azure-rhelX-X-X-X
en rhui-azure-rhel-X-X-X
dienovereenkomstig.
Installatie van RHEL 8 SAP/E4S/HANA RHUI-pakket
Selecteer het tabblad van een SAP-afbeeldingstype om de bijbehorende instructies te bekijken.
De volgende stappen zijn van toepassing als de versie van het besturingssysteem ouder is dan de meest recente versie die door SAP wordt ondersteund en RHEL 8.X
de VM is gemaakt met behulp van de installatiekopieën van de RHEL-SAP-APPS
aanbieding.
Installeer het
rhui-azure-rhel8-sapapps
pakket door de opdracht dnf-installatie uit te voeren:sudo dnf --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel8-sapapps.config' install rhui-azure-rhel8-sapapps
De variabele vergrendelen
releasever
:sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/dnf/vars/releasever
Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven door de opdracht uit te
dnf repolist
voeren:sudo dnf repolist all
Opmerking
Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X
opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:
sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X
Vervang rhui-microsoft-azure-rhelX-X-X-X
en rhui-azure-rhel-X-X-X
dienovereenkomstig.
INSTALLATIE VAN RHEL 9 SAP/HANA RHUI-pakket
Selecteer het tabblad van een SAP-afbeeldingstype om de bijbehorende instructies te bekijken.
De volgende stappen zijn van toepassing als de versie van het besturingssysteem ouder is dan de meest recente versie die wordt ondersteund door SAP voor RHEL 9.0
en als de VM is gemaakt met behulp van de installatiekopieën van de RHEL-SAP-APPS
aanbieding.
Installeer het
rhui-azure-rhel9-sapapps
pakket door de opdracht uit tednf install
voeren:sudo dnf --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel9-sapapps.config' install rhui-azure-rhel9-sapapps
Vergrendel het
releasever
niveau. Momenteel moet dit 9.0 of 9.2 zijn.sudo sh -c 'echo 9.2 > /etc/dnf/vars/releasever'
Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven. Voer hiervoor de
dnf repolist
opdracht uit:sudo dnf repolist all
Opmerking
Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X
opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:
sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X
Vervang rhui-microsoft-azure-rhelX-X-X-X
en rhui-azure-rhel-X-X-X
dienovereenkomstig.
Oorzaak 4: SSL CA-certificaat ontbreekt
Het ca-bundle.crt-certificaatbestand is handmatig verwijderd, is beschadigd of is verouderd.
U ontvangt mogelijk een foutbericht dat lijkt op de volgende uitvoer wanneer u opdrachten probeert uit te voeren yum
:
# yum repolist
Loaded plugins: langpacks, product-id, search-disabled-repos
rhui-rhel-X-server-dotnet-rhui FAILED
https://rhui-3.microsoft.com/pulp/repos//content/dist/rhel/rhui/server/X/XServer/x86_64/dotnet/1/os/repodata/70b2edf9a115dffa42d4dd66ba77e77bc3cad45d1143ed02df72ea58c92b59b5-primary.sqlite.bz2: [Errno 14] curl#77 - "Problem with the SSL CA cert (path? access rights?)"
Trying other mirror.
Oplossing 4: Het ca-certificatenpakket bijwerken of opnieuw installeren
Download het meest recente pakket ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm van een andere VM met toegang tot opslagplaatsen en dezelfde Red Hat-versie en release. Kopieer vervolgens het pakket naar de betreffende VM:
sudo yumdownloader ca-certificates sudo scp ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm <user-name>@<affected-VM-IP-address>:/tmp
Opmerking
Zorg ervoor dat u de bijbehorende tijdelijke aanduidingen voor gebruikers en IP-adressen vervangt. Zorg er ook voor dat u de pakketnaam ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm dienovereenkomstig vervangt.
Werk het pakket bij, installeer of installeer het
ca-certificate
opnieuw nadat het is gekopieerd naar de betreffende VM:Controleer of het pakket al is geïnstalleerd:
sudo rpm -qa | grep "ca-certificates"
Als het pakket ontbreekt, installeert u het door de opdracht uit te
yum install
voeren:sudo yum install ca-certificates-*.noarch.rpm --disablerepo=*
Als het pakket nog steeds is geïnstalleerd, voert u de
yum reinstall
opdracht uit om het opnieuw te installeren:sudo yum reinstall ca-certificates-*.noarch.rpm --disablerepo=*
Voer de opdracht update-ca-trust uit om de bijbehorende certificaten opnieuw te genereren of bij te werken:
sudo update-ca-trust
Oorzaak 5: Verificatiefout in RHEL versie 8 of 9 ('CA-certificaatsleutel is te zwak')
Het systeem probeert verbinding te maken met een server die een certificaat bevat dat is ondertekend met behulp van 2048-bits RSA-sleutels. Het systeem heeft echter een FUTURE
beleidsinstelling die dat cryptografische algoritme verbiedt. De volgende foutberichten worden weergegeven in het bestand /var/log/messages of /var/log/dnf.log :
2023-03-13T19:07:55+0000 DEBUG error: Curl error (60): SSL peer certificate or SSH remote key was not OK for https://rhui4-1.microsoft.com/pulp/repos/content/dist/rhel9/rhui/9/x86_64/supplementary/os/repodata/repomd.xml [SSL certificate problem: CA certificate key too weak] (https://rhui4-1.microsoft.com/pulp/repos/content/dist/rhel9/rhui/9/x86_64/supplementary/os/repodata/repomd.xml).
- Curl error (58): Problem with the local SSL certificate for https://rhui-2.microsoft.com/pulp/repos/content/e4s/rhel8/rhui/8.4/x86_64/sap/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small, (no key found, wrong pass phrase, or wrong file format?)]
De standaardinstelling voor systeembeleid is DEFAULT
. In dit scenario is de standaardinstelling gewijzigd van DEFAULT
in FUTURE
of CUSTOM
. Het FUTURE
beleid schakelt sommige algoritmen uit die gebruikmaken van 2048 bits, zoals SHA-1, RSA en Diffie-Hellman. Het CUSTOM
beleid kan deze algoritmen ook uitschakelen. Voer de volgende opdracht update-crypto-policies uit om de huidige beleidsinstellingsmodus te identificeren:
sudo update-crypto-policies --show
DEFAULT:FUTURE
Oplossing 5: Terugkeren naar het standaard cryptografische systeembeleid
Ga als volgt te werk om de cryptografie terug te zetten naar de DEFAULT
systeembeleidsinstelling:
Wijzig de systeembeleidsinstelling weer in door de opdracht uit te
DEFAULT
update-crypto-policies
voeren:sudo update-crypto-policies --set DEFAULT
Controleer of de beleidswijziging is doorgevoerd door de opdracht opnieuw uit te
update-crypto-policies
voeren:sudo update-crypto-policies --show
Test om ervoor te zorgen dat de fout is opgelost door de
dnf install
opdracht uit te voeren:sudo dnf install <package-name>
Zie Sterke crypto-standaardinstellingen in RHEL 8 en afschaffing van zwakke crypto-algoritmen voor meer informatie over cryptografisch beleid.
Disclaimerinformatie van derden
De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.
Contacteer ons voor hulp
Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor