Condividi tramite

  • Articolo

Problemi relativi ai certificati

 

Pubblicato: marzo 2016

Si applica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

In questo argomento vengono descritte le risoluzioni dei problemi di certificato per il monitoraggio di computer UNIX o Linux.

Messaggio di errore di firma del certificato

Durante l'installazione di agenti UNIX/Linux, è possibile che venga visualizzato il messaggio di errore seguente.

Event Type:        Error
Event Source:    Cross Platform Modules
Event Category:                None
Event ID:              256
Date:                     4/1/2009
Time:                     4:02:27 PM
User:                     N/A
Computer:          COMPUTER1
Description:
Unexpected ScxCertLibException: Can't decode from base64
; input data is:

Questo errore si verifica quando viene chiamato il modulo di firma del certificato, ma il certificato è vuoto. Può inoltre essere causato da un errore di connessione SSH al sistema remoto.

Se viene visualizzato questo messaggio di errore, effettuare le operazioni seguenti:

  1. Verificare che il daemon SSH sull'host remoto sia in esecuzione.

  2. Assicurarsi che sia possibile aprire una sessione SSH con l'host remoto utilizzando le credenziali specificate nell'Individuazione guidata.

  3. Assicurarsi che le credenziali specificate nell'Individuazione guidata dispongano dei privilegi necessari per l'individuazione. Per altre informazioni, vedere Funzionalità richieste per account UNIX e Linux.

Mancata corrispondenza tra nome del certificato e nome host

Il nome comune (CN) utilizzato nel certificato deve corrispondere al nome di dominio completo (FQDN) risolto da Operations Manager.  Se il CN non corrisponde, quando si esegue l'individuazione guidata viene visualizzato questo errore:

The SSL certificate contains a common name (CN) that does not match the hostname

Per visualizzare i dettagli di base del certificato sul computer UNIX o Linux, immettere il comando seguente:

openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates

In tal caso, verrà visualizzato un output simile al seguente:

subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
notBefore=Mar 25 05:21:18 2008 GMT
notAfter=Mar 20 05:21:18 2029 GMT

Convalidare le date e i nomi host e verificare che corrispondano al nome risolto dal server di gestione di Operations Manager.

Se i nomi host non corrispondono, effettuare una delle operazioni seguenti per risolvere il problema:

  • Se il nome host UNIX o Linux è corretto ma il server di gestione di Operations Manager lo risolve in modo errato, modificare la voce DNS in modo che corrisponda al nome FQDN corretto oppure aggiungere una voce nel file hosts sul server di Operations Manager.

  • Se il nome host UNIX o Linux non è corretto, effettuare una delle operazioni seguenti:

    • Sostituire il nome host UNIX o Linux con quello corretto e creare un nuovo certificato.

    • Creare un nuovo certificato con il nome host desiderato.

Per modificare il nome sul certificato:

Se il certificato è stato creato con un nome errato, è possibile modificare il nome host e ricreare il certificato e la chiave privata. A tale scopo, eseguire il comando seguente sul computer UNIX o Linux:

/opt/microsoft/scx/bin/tools/scxsslconfig -f -v

L'opzione f forza la sovrascrittura dei file in /etc/opt/microsoft/scx/ssl.

È inoltre possibile modificare il nome host e il nome di dominio sul certificato utilizzando le opzioni –h e –d, come illustrato nell'esempio seguente:

/opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>

Riavviare l'agente eseguendo il comando riportato di seguito:

/opt/microsoft/scx/bin/tools/scxadmin -restart

Per aggiungere una voce al file hosts:

Se il nome FQDN non è nel DNS inverso, è possibile aggiungere una voce al file hosts sul server di gestione per fornire la risoluzione del nome. Il file degli host si trova nella cartella \Windows\System32\Drivers\etc.  Una voce nel file degli host è una combinazione di indirizzo IP e nome FQDN.

Per aggiungere, ad esempio, una voce per l'host denominato "newhostname.newdomain.name" con indirizzo IP 192.168.1.1, aggiungere quanto segue alla fine del file hosts:

192.168.1.1     newhostname.newdomain.name