Delen via

Problemen met RHUI-certificaten in Azure oplossen

  • Artikel

Van toepassing op: ✔️ Virtuele Linux-machines

In dit artikel worden veelvoorkomende problemen in de Red Hat Update Infrastructure (RHUI) besproken die worden veroorzaakt door verlopen of ontbrekende TLS-certificaten (Transport Layer Security) of SSL-certificaten (Secure Sockets Layer).

Voorwaarden

Belangrijk

RHUI is bedoeld voor alleen betalen per gebruik-installatiekopieën. Gebruikt u in plaats daarvan aangepaste of gouden installatiekopieën (ook wel 'breng-uw-eigen-abonnement (BYOS)') genoemd? In dat geval moet het systeem worden gekoppeld aan Red Hat Subscription Manager (RHSM) of Satellite om updates te kunnen ontvangen. Zie Hoe u een RHEL-systeem registreert en abonneert op de Red Hat-klantportal met behulp van RHSM voor meer informatie.

Notitie

  • Vanaf 12 oktober 2023 zijn alle pay-as-you-go-clients (PAYG) doorgestuurd naar de RHUI-4 IP's in fasen. De RHUI-3 IP-adressen blijven beschikbaar voor doorlopende updates, maar worden in de toekomst verwijderd. Om ononderbroken toegang tot pakketten en updates te garanderen, moet u bestaande routes en regels bijwerken die toegang tot RHUI-3 IP-adressen toestaan om RHUI-4 IP-adressen op te nemen. Als u echter tijdens deze overgangsperiode updates wilt blijven ontvangen, verwijdert u geen RHUI-3 IP-adressen.
  • Vanaf januari 2020 zijn de nieuwe Azure US Government-installatiekopieën begonnen met het gebruik van de openbare IP-adressen die eerder werden vermeld onder de Azure Global-header.

Oorzaak 1: RHUI-clientcertificaat is verlopen

De Azure RHUI-certificaten verlopen doorgaans om de twee jaar. Als u een oudere RHEL-VM-installatiekopieën gebruikt, zoals RHEL versie 7.4 (installatiekopieën URN: RedHat:RHEL:7.4:7.4.2018010506), ondervindt u verminderde connectiviteit met RHUI vanwege een verlopen TLS/SSL-clientcertificaat. U kunt bijvoorbeeld een van de volgende foutberichten ontvangen:

  • 'SSL-peer heeft uw certificaat geweigerd als verlopen'

  • 'Fout: Kan metagegevens van opslagplaatsen (repomd.xml) niet ophalen voor opslagplaats:_... Controleer het pad en probeer het opnieuw'

U moet een proces toepassen om te voorkomen dat certificaten verlopen in oude installatiekopieën of installatiekopieën die net vóór de vervaldatum van een certificaat zijn gemaakt.

Oplossing 1: Het RHUI-clientpakket bijwerken

Gebruik RHUI om toegang te krijgen tot RHEL-opslagplaatsen op systemen met betalen per gebruik in cloudomgevingen. Als cloudprovider kan Azure op elk gewenst moment nieuwere rpm-versies voor clientconfiguratie maken en publiceren, zoals voor de volgende taken:

  • Toegang verlenen tot een nieuwe opslagplaats
  • Certificaten vernieuwen
  • Andere verpakkingswijzigingen aanbrengen

In deze situatie moet u het nieuwe RHUI-pakket in het systeem installeren. Dit pakket heeft het vernieuwde certificaat. Voer de yum-opdracht uit om het RHUI-pakket bij te werken:

sudo yum update -y --disablerepo='*' --enablerepo='*microsoft-azure*'

de opdracht sudo yum update kan ook het clientcertificaatpakket bijwerken (afhankelijk van uw RHEL-versie). Dit geldt zelfs als de uitvoer van de opdracht dezelfde verlopen SSL-certificaatfouten bevat die u ziet voor andere opslagplaatsen. Als deze update is geslaagd, moet u de normale verbinding met andere RHUI-opslagplaatsen herstellen, zodat u deze een tweede keer kunt uitvoeren sudo yum update .

Als u een 404-fout krijgt wanneer u deze uitvoert yum update, probeert u de volgende opdrachten uit te voeren om uw yum-cache te vernieuwen:

sudo yum clean all
sudo yum makecache

Oorzaak 2: RHUI-certificaat ontbreekt

Op de Virtuele Linux-machine van Azure Red Hat is het RHUI Azure-pakket al geïnstalleerd. Het certificaat ontbreekt echter in de map /etc/pki/rhui/product/ .

Als het RHUI-certificaat per ongeluk van de VIRTUELE machine is verwijderd, wordt het volgende foutbericht weergegeven wanneer u probeert een pakket te installeren of bij te werken:

sudo yum install <package-name>
Red Hat Enterprise Linux X for x86_64 - XXXX  0.0  B/s |   0  B     00:00  
Errors during downloading metadata for repository 'rhel-X-for-x86_64-XXXX-eus-rhui-rpms':  
  - Curl error (58): Problem with the local SSL certificate for https://rhui-3.microsoft.com/pulp/repos/content/eus/rhel8/rhui/X.X/x86_64/XXXXX/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:02001002:system library:fopen:No such file or directory, (no key found, wrong pass phrase, or wrong file format?)]

Oplossing 2: installeer het EUS-, niet-EUS- of SAP RHUI-pakket opnieuw

Installeer het bijbehorende RHUI-pakket opnieuw om de ontbrekende certificaten op de juiste locatie opnieuw te genereren.

Alle opdrachten in de volgende stappen moeten worden uitgevoerd met behulp van hoofdbevoegdheden of door het volgende op te sudogeven:

  1. Controleer of het rhui-azure (EUS, non-EUSof SAP/E4S) pakket is geïnstalleerd. Voer hiervoor de volgende opdracht uit:

    sudo rpm -qa | grep -i azure

    rhui-azure-rhelX-<>-X.X-XXX.noarch

    Zie de gekoppelde secties van de volgende artikelen voor meer informatie over uitgebreide updateondersteuning (EUS) of niet-EUS RHUI-pakketten.

    Pakkettype Koppeling
    EUS RHUI-pakketten Red Hat-installatiekopieën die zijn verbonden met EUS-opslagplaatsen
    Niet-EUS RHUI-pakketten Red Hat-installatiekopieën die zijn verbonden met niet-EUS-opslagplaatsen
    Update Services voor SAP Solutions-abonnementen (SAP/E4S) RHUI-pakketten Red Hat-installatiekopieën die zijn verbonden met SAP/E4S-opslagplaatsen

  2. Controleer of het certificaat bestaat:

    sudo ls -l /etc/pki/rhui/product/

    Notitie

    In dit scenario ontdekt u dat het bestand ontbreekt.

  3. Installeer het bijbehorende rhui-azure pakket opnieuw door de opdracht uit te yum reinstall voeren:

    sudo yum reinstall $(rpm -qa | grep -i rhui-azure) --disablerepo=* --enablerepo="*microsoft-azure*"

  4. Als de EUS of E4S opslagplaats is geïnstalleerd, vergrendelt u de releasever variabele:

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever

  5. Controleer of het certificaat bestaat door de opdracht opnieuw uit te ls voeren. Het certificaatbestand moet nu worden weergegeven:

    sudo ls -l /etc/pki/rhui/product/

Oorzaak 3: RHUI-pakket ontbreekt

Het RHUI EUS-, niet-EUS- of SAP/E4S-pakket ontbreekt in de Red Hat-VM, maar de opslagplaatsconfiguratiebestanden bestaan nog steeds in de map /etc/yum.repos.d/ .

Wanneer u probeert een pakket te installeren of bij te werken, wordt het volgende foutbericht weergegeven:

sudo yum install <package-name>  
Red Hat Enterprise Linux X for x86_64 - XXXX  0.0  B/s |   0  B     00:00  
Errors during downloading metadata for repository 'rhel-X-for-x86_64-XXXX-XXX-rhui-rpms':  
  - Curl error (58): Problem with the local SSL certificate for https://rhui-3.microsoft.com/pulp/repos/content/eus/rhel8/rhui/X.X/x86_64/XXXXX/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:02001002:system library:fopen:No such file or directory, (no key found, wrong pass phrase, or wrong file format?)]

Oplossing 3: Installeer het EUS-, niet-EUS- of SAP/E4S RHUI-pakket

Installeer het ontbrekende RHUI-pakket voor EUS, niet-EUS of SAP/E4S.

Alle volgende opdrachten moeten worden uitgevoerd met behulp van hoofdbevoegdheden of door op te sudogeven.

INSTALLATIE van EUS RHUI-pakket

  1. Voer de opdracht yum install uit om het pakket rhui-azure-rhel7-eus te installeren:

    sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7-eus.config' install 'rhui-azure-rhel7-eus'

  2. releasever De variabele vergrendelen:

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geef geen fouten weer. Voer hiervoor de yum repolist opdracht uit:

    sudo yum repolist all

Notitie

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang en rhui-azure-rhel-X-X-X door rhui-microsoft-azure-rhelX-X-X-X de werkelijke waarden, indien van toepassing.

Installatie van niet-EUS RHUI-pakket

  1. Verwijder het releasever-bestand als het bestaat.

    sudo rm /etc/yum/vars/releasever

  2. Installeer het rhui-azure-rhel7 pakket door de opdracht uit te yum install voeren:

    sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7.config' install 'rhui-azure-rhel7'

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geef geen fouten weer. Voer hiervoor de yum repolist opdracht uit:

    sudo yum repolist all

Notitie

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang en rhui-azure-rhel-X-X-X door rhui-microsoft-azure-rhelX-X-X-X de werkelijke waarden, indien van toepassing.

RHEL 7 SAP/E4S/HANA RHUI-pakketinstallatie

Selecteer het tabblad van een SAP-installatiekopietype om de bijbehorende instructies weer te geven.

De volgende stappen zijn van toepassing als de versie van het besturingssysteem ouder is dan RHEL 7.9 en de VIRTUELE machine is gemaakt met behulp van de installatiekopieën van de RHEL-SAP-APPS aanbieding.

  1. Installeer het rhui-azure-rhel7-sapapps pakket door de opdracht uit te yum install voeren:

    sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7-sapapps.config' install rhui-azure-rhel7-sapapps

  2. releasever De variabele vergrendelen:

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geef geen fouten weer. Voer hiervoor de yum repolist opdracht uit:

    sudo yum repolist all

Notitie

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang en rhui-azure-rhel-X-X-X door rhui-microsoft-azure-rhelX-X-X-X de werkelijke waarden, indien van toepassing.

RHEL 8 SAP/E4S/HANA RHUI-pakketinstallatie

Selecteer het tabblad van een SAP-installatiekopietype om de bijbehorende instructies weer te geven.

De volgende stappen zijn van toepassing als de versie van het besturingssysteem ouder is dan de nieuwste versie die door SAP RHEL 8.X wordt ondersteund en de VM is gemaakt met behulp van de installatiekopieën van de RHEL-SAP-APPS aanbieding.

  1. Installeer het rhui-azure-rhel8-sapapps pakket door de dnf-installatieopdracht uit te voeren:

    sudo dnf --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel8-sapapps.config' install rhui-azure-rhel8-sapapps

  2. releasever De variabele vergrendelen:

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/dnf/vars/releasever

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geef geen fouten weer. Voer hiervoor de dnf repolist opdracht uit:

    sudo dnf repolist all

Notitie

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang en rhui-azure-rhel-X-X-X door rhui-microsoft-azure-rhelX-X-X-X de werkelijke waarden, indien van toepassing.

INSTALLATIE VAN RHEL 9 SAP/HANA RHUI-pakket

Selecteer het tabblad van een SAP-installatiekopietype om de bijbehorende instructies weer te geven.

De volgende stappen zijn van toepassing als de versie van het besturingssysteem ouder is dan de meest recente versie die door SAP RHEL 9.0wordt ondersteund en of de VIRTUELE machine is gemaakt met behulp van de installatiekopieën van de RHEL-SAP-APPS aanbieding.

  1. Installeer het rhui-azure-rhel9-sapapps pakket door de opdracht uit te dnf install voeren:

    sudo dnf --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel9-sapapps.config' install rhui-azure-rhel9-sapapps

  2. Vergrendel het releasever niveau. Op dit moment moet de versie 9.0 of 9.2 zijn.

    sudo sh -c 'echo 9.2 > /etc/dnf/vars/releasever'

  3. Controleer of de bijbehorende opslagplaatsen beschikbaar zijn en geef geen fouten weer. Voer hiervoor de yum repolist opdracht uit:

    sudo dnf repolist all

Notitie

Als u een proxy gebruikt in /etc/yum.conf of /etc/dnf.conf, werkt de yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X opdracht niet omdat deze uw proxy-instellingen niet bevat. Gebruik in dit geval de volgende opdrachten:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Vervang en rhui-azure-rhel-X-X-X door rhui-microsoft-azure-rhelX-X-X-X de werkelijke waarden, indien van toepassing.

Oorzaak 4: SSL CA-certificaat ontbreekt

Het ca-bundle.crt-certificaatbestand is handmatig verwijderd, is beschadigd of is verouderd.

Mogelijk ontvangt u een foutbericht dat lijkt op de volgende uitvoer wanneer u probeert yum opdrachten uit te voeren:

# yum repolist  
Loaded plugins: langpacks, product-id, search-disabled-repos  
rhui-rhel-X-server-dotnet-rhui FAILED  
https://rhui-3.microsoft.com/pulp/repos//content/dist/rhel/rhui/server/X/XServer/x86_64/dotnet/1/os/repodata/70b2edf9a115dffa42d4dd66ba77e77bc3cad45d1143ed02df72ea58c92b59b5-primary.sqlite.bz2: [Errno 14] curl#77 - "Problem with the SSL CA cert (path? access rights?)"
Trying other mirror.

Oplossing 4: het CA-certificaatpakket bijwerken of opnieuw installeren

  1. Download het nieuwste ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm-pakket van een andere VIRTUELE machine met opslagplaatstoegang en dezelfde Red Hat-versie en -release. Kopieer vervolgens het pakket naar de betreffende VM:

    sudo yumdownloader ca-certificates
sudo scp ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm <user-name>@<affected-VM-IP-address>:/tmp

    Notitie

    Zorg ervoor dat u de bijbehorende tijdelijke aanduidingen voor gebruikers en IP-adressen vervangt. Zorg er ook voor dat u de pakketnaam, ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm, dienovereenkomstig vervangt.

  2. Werk het ca-certificate pakket bij, installeer of installeer het opnieuw nadat het is gekopieerd naar de betreffende VM:

    1. Controleer of het pakket al is geïnstalleerd:

      sudo rpm -qa | grep "ca-certificates"

      • Als het pakket ontbreekt, installeert u het door de opdracht uit te yum install voeren:

        sudo yum install ca-certificates-*.noarch.rpm --disablerepo=*

      • Als het pakket nog steeds is geïnstalleerd, voert u de yum reinstall opdracht uit om het opnieuw te installeren:

        sudo yum reinstall ca-certificates-*.noarch.rpm --disablerepo=*

    2. Voer de opdracht update-ca-trust uit om de bijbehorende certificaten opnieuw te genereren of bij te werken:

      sudo update-ca-trust

Oorzaak 5: Verificatiefout in RHEL versie 8 of 9 ('CA-certificaatsleutel is te zwak')

Het systeem probeert verbinding te maken met een server die een certificaat bevat dat is ondertekend met behulp van 2048-bits RSA-sleutels. Het systeem heeft echter een FUTURE beleidsinstelling die dat cryptografische algoritme verbiedt. De volgende foutberichten worden weergegeven in het bestand /var/log/messages of /var/log/dnf.log :

2023-03-13T19:07:55+0000 DEBUG error: Curl error (60): SSL peer certificate or SSH remote key was not OK for https://rhui4-1.microsoft.com/pulp/repos/content/dist/rhel9/rhui/9/x86_64/supplementary/os/repodata/repomd.xml [SSL certificate problem: CA certificate key too weak] (https://rhui4-1.microsoft.com/pulp/repos/content/dist/rhel9/rhui/9/x86_64/supplementary/os/repodata/repomd.xml).

 - Curl error (58): Problem with the local SSL certificate for https://rhui-2.microsoft.com/pulp/repos/content/e4s/rhel8/rhui/8.4/x86_64/sap/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small, (no key found, wrong pass phrase, or wrong file format?)]

De standaardinstelling voor systeembeleid is DEFAULT. In dit scenario is de standaardinstelling gewijzigd van DEFAULT naar FUTURE of CUSTOM. Het FUTURE beleid schakelt sommige algoritmen uit die gebruikmaken van 2048 bits, zoals SHA-1, RSA en Diffie-Hellman. Het CUSTOM beleid kan deze algoritmen ook uitschakelen. Voer de volgende opdracht update-crypto-policies uit om de huidige beleidsinstellingsmodus te identificeren:

sudo update-crypto-policies --show

DEFAULT:FUTURE

Oplossing 5: Terugkeren naar het standaard cryptografische systeembeleid

Ga als volgt te werk om de cryptografie terug te zetten naar de DEFAULT systeembeleidsinstelling:

  1. Wijzig de instelling van het systeembeleid weer DEFAULT in door de opdracht uit te update-crypto-policies voeren:

    sudo update-crypto-policies --set DEFAULT

  2. Controleer of de beleidswijziging is doorgevoerd door de opdracht update-crypto-policies opnieuw uit te voeren:

    sudo update-crypto-policies --show

  3. Test om ervoor te zorgen dat de fout is opgelost. Voer hiervoor de dnf install opdracht uit:

    sudo dnf install <package-name>

Zie Sterke cryptografische standaardwaarden in RHEL 8 en afschaffing van zwakke cryptoalgoritmen voor meer informatie over cryptografisch beleid.

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.