Share via

Problemen met RHUI-certificaten in Azure oplossen

  • Artikel

In dit artikel worden veelvoorkomende problemen in de Red Hat Update Infrastructure (RHUI) besproken die worden veroorzaakt door verlopen of ontbrekende TLS- of SSL-certificaten (Secure Sockets Layer Layer).

Vereisten

Belangrijk

RHUI is alleen bedoeld voor afbeeldingen met betalen per gebruik. Gebruikt u in plaats hiervan aangepaste of gouden afbeeldingen (ook wel bring-your-own-subscription (BYOS) genoemd? In dat geval moet het systeem worden gekoppeld aan Red Hat Subscription Manager (RHSM) of Satellite om updates te ontvangen. Zie Een RHEL-systeem registreren en abonneren op de Red Hat-klantportal met behulp van RHSM voor meer informatie.

Opmerking

  • Vanaf 12 oktober 2023 zijn alle pay-as-you-go-clients gefaseerd omgeleid naar de Red Hat Update Infrastructure (RHUI) 4 IP-adressen. De RHUI-3 IP-adressen blijven beschikbaar voor voortdurende updates, maar worden in de toekomst verwijderd. Om ononderbroken toegang tot pakketten en updates te garanderen, moet u bestaande routes en regels bijwerken die toegang tot RHUI-3 IP-adressen toestaan met RHUI-4 IP-adressen. Als u echter updates wilt blijven ontvangen tijdens deze overgangsperiode, moet u RHUI-3 IP-adressen niet verwijderen.
  • Vanaf januari 2020 gebruiken de nieuwe Installatiekopieën van de Amerikaanse overheid van Azure de openbare IP-adressen die eerder zijn vermeld onder de Azure Global-header.

Oorzaak 1: RHUI-clientcertificaat is verlopen

De Azure RHUI-certificaten verlopen doorgaans om de twee jaar. Als u een oudere RHEL VM-installatiekopieën gebruikt, zoals RHEL versie 7.4 (URN van installatiekopieën: RedHat:RHEL:7.4:7.4.2018010506), ondervindt u een verminderde verbinding met RHUI vanwege een nu verlopen TLS/SSL-clientcertificaat. U kunt bijvoorbeeld een van de volgende foutberichten ontvangen:

  • "SSL-peer heeft uw certificaat geweigerd als verlopen"

  • "Fout: kan metagegevens van opslagplaats (repomd.xml) niet ophalen voor opslagplaats:_... Controleer het pad en probeer het opnieuw'

U moet een proces toepassen om te voorkomen dat certificaten verlopen in oude afbeeldingen of installatiekopieën die vlak voor de vervaldatum van een certificaat zijn gemaakt.

Oplossing 1: het RHUI-clientpakket bijwerken

Gebruik RHUI voor toegang tot RHEL-opslagplaatsen op systemen met betalen per gebruik in cloudomgevingen. Als cloudprovider kan Azure op elk gewenst moment nieuwere rpm-versies voor clientconfiguraties maken en publiceren, bijvoorbeeld voor de volgende taken:

  • Toegang verlenen tot een nieuwe opslagplaats.
  • Certificaten vernieuwen.
  • Andere verpakkingswijzigingen aanbrengen.

In dit geval moet u het nieuwe RHUI-pakket in het systeem installeren. Dit pakket heeft het vernieuwde certificaat. Voer de yum-opdracht uit om het RHUI-pakket bij te werken:

sudo yum update -y --disablerepo='*' --enablerepo='*microsoft*'

Met de sudo yum update opdracht kan ook het clientcertificaatpakket worden bijgewerkt (afhankelijk van uw RHEL-versie). Dit geldt zelfs als de uitvoer van de opdracht dezelfde verlopen SSL-certificaatfouten bevat die u ziet voor andere opslagplaatsen. Als deze update is geslaagd, moet u de normale verbinding met andere RHUI-opslagplaatsen herstellen, zodat u een tweede keer met succes kunt uitvoeren sudo yum update .

Als u de fout '404' krijgt wanneer u uitvoert yum update, probeert u de volgende opdrachten uit te voeren om uw yum-cache te vernieuwen:

sudo yum clean all
sudo yum makecache

Oorzaak 2: RHUI-certificaat ontbreekt

Op de Azure Red Hat Linux-VM is het RHUI Azure-pakket al geïnstalleerd. Het certificaat ontbreekt echter in de map /etc/pki/rhui/product/ .

Als het RHUI-certificaat per ongeluk van de VM is verwijderd, wordt het volgende foutbericht weergegeven wanneer u probeert een pakket te installeren of bij te werken:

sudo yum install <package-name>
Red Hat Enterprise Linux X for x86_64 - XXXX  0.0  B/s |   0  B     00:00  
Errors during downloading metadata for repository 'rhel-X-for-x86_64-XXXX-eus-rhui-rpms':  
  - Curl error (58): Problem with the local SSL certificate for https://rhui-3.microsoft.com/pulp/repos/content/eus/rhel8/rhui/X.X/x86_64/XXXXX/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:02001002:system library:fopen:No such file or directory, (no key found, wrong pass phrase, or wrong file format?)]

Oplossing 2: installeer het EUS-, niet-EUS- of SAP RHUI-pakket opnieuw

Installeer het bijbehorende RHUI-pakket opnieuw om de ontbrekende certificaten op de juiste locatie opnieuw te genereren.

Alle opdrachten in de volgende stappen moeten worden uitgevoerd met behulp van basisbevoegdheden of door op te sudogeven:

  1. Controleer of het rhui-azure pakket (EUS, non-EUS, of SAP/E4S) is geïnstalleerd met behulp van de volgende opdracht:

    sudo rpm -qa | grep -i azure

    rhui-azure-rhelX-<>-X.X-XXX.noarch

    Zie de gekoppelde secties van de volgende artikelen voor meer informatie over uitgebreide updateondersteuning (EUS) of niet-EUS RHUI-pakketten.

    Pakkettype Koppelen
    EUS RHUI-pakketten Red Hat-installatiekopieën die zijn verbonden met EUS-opslagplaatsen
    Niet-EUS RHUI-pakketten Red Hat-installatiekopieën die zijn verbonden met niet-EUS-opslagplaatsen
    Update Services voor SAP Solutions-abonnementen (SAP/E4S) RHUI-pakketten Red Hat-installatiekopieën die zijn verbonden met SAP/E4S-opslagplaatsen

  2. Controleer of het certificaat bestaat:

    sudo ls -l /etc/pki/rhui/product/

    Opmerking

    In dit scenario ontdekt u dat het bestand ontbreekt.

  3. Installeer het bijbehorende rhui-azure pakket opnieuw door de opdracht uit te yum reinstall voeren:

    sudo yum reinstall $(rpm -qa | grep -i rhui-azure) --disablerepo=* --enablerepo="*microsoft*"

  4. Als de EUS opslagplaats of E4S is geïnstalleerd, vergrendelt u de releasever variabele:

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever

  5. Controleer of het certificaat bestaat door de ls opdracht opnieuw uit te voeren. Het certificaatbestand moet nu worden weergegeven:

    sudo ls -l /etc/pki/rhui/product/

Oorzaak 3: RHUI-pakket ontbreekt

Het RHUI EUS-, niet-EUS- of SAP/E4S-pakket ontbreekt in de Red Hat-VM, maar de opslagplaatsconfiguratiebestanden bestaan nog steeds in de map /etc/yum.repos.d/ .

Wanneer u probeert een pakket te installeren of bij te werken, ontvangt u het volgende foutbericht:

sudo yum install <package-name>  
Red Hat Enterprise Linux X for x86_64 - XXXX  0.0  B/s |   0  B     00:00  
Errors during downloading metadata for repository 'rhel-X-for-x86_64-XXXX-XXX-rhui-rpms':  
  - Curl error (58): Problem with the local SSL certificate for https://rhui-3.microsoft.com/pulp/repos/content/eus/rhel8/rhui/X.X/x86_64/XXXXX/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:02001002:system library:fopen:No such file or directory, (no key found, wrong pass phrase, or wrong file format?)]

Oplossing 3: Installeer het EUS-, niet-EUS- of SAP/E4S RHUI-pakket

Installeer het ontbrekende RHUI-pakket voor EUS, niet-EUS of SAP/E4S.

Alle volgende opdrachten moeten worden uitgevoerd met behulp van basisbevoegdheden of door op te sudogeven.

Installatie van EUS RHUI-pakket

  1. Voer de yum install opdracht uit om het rhui-azure-rhel7-eus pakket te installeren:

    sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7-eus.config' install 'rhui-azure-rhel7-eus'

  2. De variabele vergrendelen releasever :

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven door de opdracht uit te yum repolist voeren:

    sudo yum repolist all

Opmerking

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang rhui-microsoft-azure-rhelX-X-X-X en rhui-azure-rhel-X-X-X dienovereenkomstig.

Installatie van niet-EUS RHUI-pakket

  1. Verwijder het releasever-bestand als het bestaat.

    sudo rm /etc/yum/vars/releasever

  2. Installeer het rhui-azure-rhel7 pakket door de opdracht uit te yum install voeren:

    sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7.config' install 'rhui-azure-rhel7'

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven door de opdracht uit te yum repolist voeren:

    sudo yum repolist all

Opmerking

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang rhui-microsoft-azure-rhelX-X-X-X en rhui-azure-rhel-X-X-X dienovereenkomstig.

INSTALLATIE VAN RHEL 7 SAP/E4S/HANA RHUI-pakket

Selecteer het tabblad van een SAP-afbeeldingstype om de bijbehorende instructies te bekijken.

De volgende stappen zijn van toepassing als de versie van het besturingssysteem ouder is dan RHEL 7.9 en de VM is gemaakt met behulp van de installatiekopieën van de RHEL-SAP-APPS aanbieding.

  1. Installeer het rhui-azure-rhel7-sapapps pakket door de opdracht uit te yum install voeren:

    sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7-sapapps.config' install rhui-azure-rhel7-sapapps

  2. De variabele vergrendelen releasever :

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven door de opdracht uit te yum repolist voeren:

    sudo yum repolist all

Opmerking

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang rhui-microsoft-azure-rhelX-X-X-X en rhui-azure-rhel-X-X-X dienovereenkomstig.

Installatie van RHEL 8 SAP/E4S/HANA RHUI-pakket

Selecteer het tabblad van een SAP-afbeeldingstype om de bijbehorende instructies te bekijken.

De volgende stappen zijn van toepassing als de versie van het besturingssysteem ouder is dan de meest recente versie die door SAP wordt ondersteund en RHEL 8.X de VM is gemaakt met behulp van de installatiekopieën van de RHEL-SAP-APPS aanbieding.

  1. Installeer het rhui-azure-rhel8-sapapps pakket door de opdracht dnf-installatie uit te voeren:

    sudo dnf --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel8-sapapps.config' install rhui-azure-rhel8-sapapps

  2. De variabele vergrendelen releasever :

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/dnf/vars/releasever

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven door de opdracht uit te dnf repolist voeren:

    sudo dnf repolist all

Opmerking

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang rhui-microsoft-azure-rhelX-X-X-X en rhui-azure-rhel-X-X-X dienovereenkomstig.

INSTALLATIE VAN RHEL 9 SAP/HANA RHUI-pakket

Selecteer het tabblad van een SAP-afbeeldingstype om de bijbehorende instructies te bekijken.

De volgende stappen zijn van toepassing als de versie van het besturingssysteem ouder is dan de meest recente versie die wordt ondersteund door SAP voor RHEL 9.0en als de VM is gemaakt met behulp van de installatiekopieën van de RHEL-SAP-APPS aanbieding.

  1. Installeer het rhui-azure-rhel9-sapapps pakket door de opdracht uit te dnf install voeren:

    sudo dnf --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel9-sapapps.config' install rhui-azure-rhel9-sapapps

  2. Vergrendel het releasever niveau. Momenteel moet dit 9.0 of 9.2 zijn.

    sudo sh -c 'echo 9.2 > /etc/dnf/vars/releasever'

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geen fouten weergeven. Voer hiervoor de dnf repolist opdracht uit:

    sudo dnf repolist all

Opmerking

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang rhui-microsoft-azure-rhelX-X-X-X en rhui-azure-rhel-X-X-X dienovereenkomstig.

Oorzaak 4: SSL CA-certificaat ontbreekt

Het ca-bundle.crt-certificaatbestand is handmatig verwijderd, is beschadigd of is verouderd.

U ontvangt mogelijk een foutbericht dat lijkt op de volgende uitvoer wanneer u opdrachten probeert uit te voeren yum :

# yum repolist  
Loaded plugins: langpacks, product-id, search-disabled-repos  
rhui-rhel-X-server-dotnet-rhui FAILED  
https://rhui-3.microsoft.com/pulp/repos//content/dist/rhel/rhui/server/X/XServer/x86_64/dotnet/1/os/repodata/70b2edf9a115dffa42d4dd66ba77e77bc3cad45d1143ed02df72ea58c92b59b5-primary.sqlite.bz2: [Errno 14] curl#77 - "Problem with the SSL CA cert (path? access rights?)"
Trying other mirror.

Oplossing 4: Het ca-certificatenpakket bijwerken of opnieuw installeren

  1. Download het meest recente pakket ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm van een andere VM met toegang tot opslagplaatsen en dezelfde Red Hat-versie en release. Kopieer vervolgens het pakket naar de betreffende VM:

    sudo yumdownloader ca-certificates
sudo scp ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm <user-name>@<affected-VM-IP-address>:/tmp

    Opmerking

    Zorg ervoor dat u de bijbehorende tijdelijke aanduidingen voor gebruikers en IP-adressen vervangt. Zorg er ook voor dat u de pakketnaam ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm dienovereenkomstig vervangt.

  2. Werk het pakket bij, installeer of installeer het ca-certificate opnieuw nadat het is gekopieerd naar de betreffende VM:

    1. Controleer of het pakket al is geïnstalleerd:

      sudo rpm -qa | grep "ca-certificates"

      • Als het pakket ontbreekt, installeert u het door de opdracht uit te yum install voeren:

        sudo yum install ca-certificates-*.noarch.rpm --disablerepo=*

      • Als het pakket nog steeds is geïnstalleerd, voert u de yum reinstall opdracht uit om het opnieuw te installeren:

        sudo yum reinstall ca-certificates-*.noarch.rpm --disablerepo=*

    2. Voer de opdracht update-ca-trust uit om de bijbehorende certificaten opnieuw te genereren of bij te werken:

      sudo update-ca-trust

Oorzaak 5: Verificatiefout in RHEL versie 8 of 9 ('CA-certificaatsleutel is te zwak')

Het systeem probeert verbinding te maken met een server die een certificaat bevat dat is ondertekend met behulp van 2048-bits RSA-sleutels. Het systeem heeft echter een FUTURE beleidsinstelling die dat cryptografische algoritme verbiedt. De volgende foutberichten worden weergegeven in het bestand /var/log/messages of /var/log/dnf.log :

2023-03-13T19:07:55+0000 DEBUG error: Curl error (60): SSL peer certificate or SSH remote key was not OK for https://rhui4-1.microsoft.com/pulp/repos/content/dist/rhel9/rhui/9/x86_64/supplementary/os/repodata/repomd.xml [SSL certificate problem: CA certificate key too weak] (https://rhui4-1.microsoft.com/pulp/repos/content/dist/rhel9/rhui/9/x86_64/supplementary/os/repodata/repomd.xml).

 - Curl error (58): Problem with the local SSL certificate for https://rhui-2.microsoft.com/pulp/repos/content/e4s/rhel8/rhui/8.4/x86_64/sap/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small, (no key found, wrong pass phrase, or wrong file format?)]

De standaardinstelling voor systeembeleid is DEFAULT. In dit scenario is de standaardinstelling gewijzigd van DEFAULT in FUTURE of CUSTOM. Het FUTURE beleid schakelt sommige algoritmen uit die gebruikmaken van 2048 bits, zoals SHA-1, RSA en Diffie-Hellman. Het CUSTOM beleid kan deze algoritmen ook uitschakelen. Voer de volgende opdracht update-crypto-policies uit om de huidige beleidsinstellingsmodus te identificeren:

sudo update-crypto-policies --show

DEFAULT:FUTURE

Oplossing 5: Terugkeren naar het standaard cryptografische systeembeleid

Ga als volgt te werk om de cryptografie terug te zetten naar de DEFAULT systeembeleidsinstelling:

  1. Wijzig de systeembeleidsinstelling weer in door de opdracht uit te DEFAULTupdate-crypto-policies voeren:

    sudo update-crypto-policies --set DEFAULT

  2. Controleer of de beleidswijziging is doorgevoerd door de opdracht opnieuw uit te update-crypto-policies voeren:

    sudo update-crypto-policies --show

  3. Test om ervoor te zorgen dat de fout is opgelost door de dnf install opdracht uit te voeren:

    sudo dnf install <package-name>

Zie Sterke crypto-standaardinstellingen in RHEL 8 en afschaffing van zwakke crypto-algoritmen voor meer informatie over cryptografisch beleid.

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.