• NBU服务端生成证书/客户端获取、更新证书方式/7656、7654、7640、76XX报错处理


    创建重发令牌

    如果非主控主机已在主服务器上注册但其基于主机ID的证书不再有效,则可以重新颁发基于主机ID的证书。例如,证书在过期,被撤销或丢失时无效。

    重发令牌是一种可用于重新颁发证书的令牌。它是一种特殊类型的令牌,因为它保留与原始证书相同的主机ID。由于重发令牌绑定到特定主机,因此该令牌不能用于为其他主机请求证书。

    使用NetBackup管理控制台创建重新签发令牌

    1. 在NetBackup管理控制台中,展开“安全管理”>“证书管理”。
    2. 在右侧窗格中,选择需要重发令牌的主机。
    3. 从“操作”菜单中,选择“  生成重新发行标记”
    4. 在“创建重新发行标记”对话框中,输入标记的名称。
    5. 从“ 有效期限”  选项中选择令牌有效期的日期  

      注意:

      创建新令牌时,“可用最大使用率”设置不可用。必须为特定主机使用重发令牌一次。

    6. 在“  原因”  字段中,输入重发令牌的原因。原因在日志中显示为审核事件。
    7. 点击  创建
    8. 重发令牌出现在对话框中。选择“  复制”  将令牌值保存到剪贴板。
    9. 将令牌值传递给非主控主机的管理员。如何传达令牌取决于环境中的各种安全因素。令牌可以通过电子邮件,文件或口头传输。

      非主控主机的管理员部署令牌以获取另一个基于主机ID的证书。有关说明,请参阅以下主题:

      请参阅  部署基于主机ID的证书

    使用nbcertcmd命令创建重新签发令牌

    1. 主服务器管理员必须登录NetBackup Web管理服务才能执行此任务。使用以下命令登录:

      bpnbat -login -logintype WEB

      请参阅  nbcertcmd命令选项的Web登录要求

    2. 在主服务器上运行以下命令之一:

      使用需要重新颁发证书的主机名:

      nbcertcmd -createToken -name  token_name  -reissue -host  host_name

      注意:

      您必须提供要重新颁发证书的主机的主要名称。如果提供为主机添加的任何主机ID到主机名映射,则无法重新颁发证书。

      使用需要重新颁发证书的主机ID:

      nbcertcmd -createToken -name  TOKEN_NAME  -reissue -hostId  HOST_ID

      附加参数可用于指示有效期和创建原因。

    为重命名的NetBackup主机请求证书的其他步骤

    除了重新发出令牌之外,还需要执行以下步骤来为重命名的NetBackup主机请求证书。

    在主机名更改后为主机请求证书

    1. 主服务器的NetBackup管理员为重命名的NetBackup主机生成重发令牌。
    2. 使用NetBackup管理控制台将新主机名添加为批准的主机ID到主机名之一映射。

      请参阅  将主机ID添加到主机名映射

      或者,您可以使用  nbhostmgmt -add  命令行界面选项。

      有关nbhostmgmt  命令的详细信息  ,请参见“ NetBackup命令参考指南 ”中的“ nbhostmgmt ”部分  

    3. NetBackup管理员必须撤消重命名的主机的基于主机ID的证书。

      请参阅  撤消基于主机ID的证书

      注意:

      证书被撤销后,主机无法与NetBackup Web管理控制台服务(nbwmc)通信。当主机使用重发令牌获取新证书时,主机可以 再次nbwmc通信  

    4. 撤消证书后,非主控主机的管理员必须使用重发令牌获取重命名主机的证书。

      请参阅  部署基于主机ID的证书

    客户端证书过期更新

    关于基于主机ID的证书过期和续订

    基于NetBackup主机ID的证书在其发布日期后一年到期。它们会在到期日期前180天自动续订。定期发送证书续订请求,直到证书成功续订。自动续订可确保续订过程对用户透明。

    续订请求始终使用现有证书进行身份验证。因此,无论证书部署安全级别如何,续订过程都不需要使用授权令牌。

    如果现有证书尚未过期,则主机管理员可以启动手动续订请求,如以下过程中所述。

    手动续订基于主机ID的证书

    • 主机管理员在非主控主机上运行以下命令:

      nbcertcmd -renewCertificate

      • 可以通过指定-server选项手动续订与主域以外的NetBackup域对应的证书

      • 使用-cluster选项更新NetBackup群集服务器的群集证书。

    在证书已过期的情况下,主机管理员必须手动重新颁发证书。

    请参阅关于重新发布基于主机ID的证书

    强制或覆盖证书部署

    在某些情况下,可能需要将-force选项与nbcertcmd -getCertificate命令一起使用。例如,强制将证书部署到主机或覆盖现有的基于主机ID的证书信息并获取新证书。

    强制部署证书

    主机可能已经拥有基于主机ID的证书,但需要使用新证书覆盖旧证书。例如,当使用新服务器替换主服务器时,这是必需的。由于客户端具有旧服务器的旧证书,因此在客户端上运行nbcertcmd -getCertificate命令,它将失败并显示以下错误:

    服务器已存在证书。

    使用以下过程覆盖现有的基于主机ID的证书信息并获取新证书。

    在主机上强制部署证书

    • 主机管理员在非主控主机上运行以下命令:

      nbcertcmd -getCertificate -server master_server_name -force

      • 根据主服务器上的安全设置,可能还需要指定令牌。

        请参阅创建授权令牌

      • 使用-cluster选项部署群集证书。

    覆盖现有的基于主机ID的证书信息并获取新证书

    主机可能已颁发证书,但随着时间的推移,证书已损坏或证书文件已被删除。

    非主控主机的管理员可以运行以下命令来确认证书的状况:

    nbcertcmd -listCertDetails

    • 如果证书已损坏,则该命令将失败并显示以下错误:

      无法从本地证书存储区读取证书。

    • 如果未显示证书详细信息,则证书不可用。

    使用以下过程覆盖现有的基于主机ID的证书信息并获取新证书。

    获取新的基于主机ID的证书

    • 主机管理员在非主控主机上运行以下命令:

      nbcertcmd -getCertificate -force

      • 根据主服务器上的安全设置,可能还需要指定令牌。

        请参阅创建授权令牌

      • 使用-cluster选项部署群集证书。

      客户端报错7654

      In the case the client CRL is corrupt, the bpcd log on the client will show a status 7654:
      13:50:23.731 [12560] <16> dump_proxy_info: statusmsg: The revocation status of the peer host certificate cannot be verified using the Certificate Revocation List (CRL), because no CRL is present from the certificate issuer's domain., nbu status = 7654, severity = 2
       
      To check the state of the client or media server, execute nbcertcmd -hostselfcheck .  If the CRL is corrupt, it will exit with an error 9301:
      nbcertcmd -hostselfcheck
      Unable to read CRL for server = nbmaster2, error = 9301.
      EXIT STATUS 9301: Failed to decode certificate revocation list.

      Solution

      To resolve this issue, complete the following on the host (client or media server) reporting the error:

      Fetch an updated CRL from the master server:
      nbcertcmd -getCRL
       
      If successful it will return the following:
      nbcertcmd -getCRL
      Successfully retrieved certificate revocation list for master server [nbmaster2]

       
      Once an updated CRL has been fetched, nbcertcmd -hostselfcheck will be successful:
      nbcertcmd -hostselfcheck
      The certificate is not revoked.
       

       
  • 相关阅读:
    通过ifconfig命令分析
    网络协议初探
    商品详情页面属性价格显示其对应价格
    ecshop属性 {$goods.goods_attr|nl2br} 标签的赋值相关
    CI模板中如何引入模板
    jQuery取得/设置select的值
    ecshop如何增加多个产品详细描述的编辑器
    获取span里面的值(特殊情况下 )
    一个页面有相同ID元素的情况分析
    表单辅助函数-form_open()
  • 原文地址:https://www.cnblogs.com/yihr/p/10839306.html
Copyright © 2020-2023  润新知