Истек срок действия сертификата мастер сервера
Проблема: истек срок действия сертификата мастер сервера
При установке Netbackup с роль мастер сервера генерируется сертификат на сервис Tomcat. Через год сертификат просрачивается и требуется его обновить. Если устанавливались два сервера Master и Media, то в один прекрасный день вы увидите пустой список драйвов в консоли Netbackup, а в журнале событий Security Event на вкладке Audit Events будут события:
1 2 |
Expired certificate for host 'master-srv' was deleted from the database Expired certificate for host 'media-srv' was deleted from the database |
На мастер сервере:
1 2 3 4 5 6 7 8 9 |
C:\Program Files\Veritas\NetBackup\bin> nbcertcmd -getcertificate -force nbcertcmd: The -getCertificate operation failed for server master-server EXIT STATUS 8506: The certificate has expired. C:\Program Files\Veritas\NetBackup\bin\admincmd> nbcertconfig -t -user nbwebsvc -f Enter the password of the NetBackup Web Services account:******** Security certificate generated successfully for tomcat. C:\Program Files\Veritas\NetBackup\wmc\bin\install\configureCerts.bat |
после успешного выполнения вышеуказанных действий сгенерировать Token для media-srv
UPD 2020.09.21 ПРИМЕЧАНИЕ от Сергея: «Перед командой nbcertconfig -t -user nbwebsvc нужно ввести set WEBSVC_PASSWORD= версия 8.1, так как указано в статье — не работает» — оставлю пока это здесь до следующего раза
На медиа сервере:
1 2 3 4 5 6 |
C:\Program Files\Veritas\NetBackup\bin> nbcertcmd -getCACertificate -server master-srv CA certificate stored successfully from server master-srv C:\Program Files\Veritas\NetBackup\bin> nbcertcmd -getCACertificate -server master-srv C:\Program Files\Veritas\NetBackup\bin> nbcertcmd -displayCACertDetail -server master-srv C:\Program Files\Veritas\NetBackup\bin> nbcertcmd -getCertificate -host madia-srv -server master-srv -token |
Примечание.
еще может быт вот такая ошибка при истекшем сертификате
Unable to login, status: 7656
The revocation status of the host certificate cannot be
verified using the Certifiacete Revocation List (CRL)
UPD 2020.09.21
ПРИМЕЧАНИЕ от Сергея: «Перед командой nbcertconfig -t -user nbwebsvc нужно ввести set WEBSVC_PASSWORD= версия 8.1, так как указано в статье — не работает»
— оставлю пока это здесь до следующего раза
UPD 2021.07.07
Не получилось перевыпустить сертификат через генерацию токена
1 2 3 |
C:\Program Files\Veritas\NetBackup\bin>nbcertcmd -getCertificate -host media-srv -server master-srv -token Authorization Token: **************** Host certificate and certificate revocation list already exist for master server [master-srv] |
Оказалось в админке Security Management -> Host Management для медиасервера можно разрешить перевыпуск сертифката Allow Auto Reissue Certificate
После чего пульнуть команду с медиасервера
1 2 |
C:\Program Files\Veritas\NetBackup\bin>nbcertcmd -renewCertificate -host media-srv Host certificate renewed successfully. |
Саня ты в который раз спасаешь мои нервы этой статьей. я не пойму одного почему ты до сих пор не нашел способ автопродления ?))
Привет Гера 🙂
Да тут понимаешь какая штуковина: ломается один раз в год, чиню сразу и на ходу записываю. Вот если бы у меня была тысяча серверов, то уже давно бы автоматизировал 🙂
Отличная статья!
Очень поможет админу, который впервые нарывается на эту проблему.
У Веритасов есть статья на тему автоматического перевыпуска серта для TomCat. Если в кратце, — то проблема заключается в locale мастер-сервера. Если локаль не EN, то запрос на перевыпуск серта формируется с неправильным форматом дата/времени и он не перевыпускается и протухает..Как то так)