Dela via

Felsöka problem med RHUI-certifikat i Azure

  • Artikel

Gäller för: ✔️ Virtuella Linux-datorer

I den här artikeln beskrivs vanliga problem i Red Hat Update Infrastructure (RHUI) som orsakas av utgångna eller saknade TLS-certifikat (Transport Layer Security) eller SSL-certifikat (Secure Sockets Layer).

Förutsättningar

Viktigt!

RHUI är endast avsett för betala per användning-avbildningar. Använder du anpassade eller gyllene avbildningar (kallas även byOS (bring-your-own-subscription) i stället? I så fall måste systemet kopplas till Red Hat Subscription Manager (RHSM) eller Satellit för att kunna ta emot uppdateringar. Mer information finns i Registrera och prenumerera ett RHEL-system på Red Hat-kundportalen med RHSM.

Kommentar

  • Från och med den 12 oktober 2023 har alla pay-as-you-go-klienter (PAYG) dirigerats till RHUI-4 IP-adresser i faser. RHUI-3 IP-adresser är fortfarande tillgängliga för fortsatta uppdateringar, men kommer att tas bort i framtiden. För att säkerställa oavbruten åtkomst till paket och uppdateringar måste du uppdatera befintliga vägar och regler som tillåter åtkomst till RHUI-3 IP-adresser för att inkludera RHUI-4 IP-adresser. Men för att fortsätta ta emot uppdateringar under den här övergångsperioden ska du inte ta bort RHUI-3 IP-adresser.
  • Från och med januari 2020 började de nya Azure US Government-avbildningarna använda de offentliga IP-adresser som nämndes tidigare under Azure Global-huvudet.

Orsak 1: RHUI-klientcertifikatet har upphört att gälla

Azure RHUI-certifikaten upphör vanligtvis att gälla vartannat år. Om du använder en äldre RHEL VM-avbildning, till exempel RHEL version 7.4 (avbildnings-URN: RedHat:RHEL:7.4:7.4.2018010506), får du en försämrad anslutning till RHUI på grund av ett nu utgånget TLS/SSL-klientcertifikat. Du kan till exempel få något av följande felmeddelanden:

  • "SSL-peer avvisade ditt certifikat som upphört att gälla"

  • "Fel: Det går inte att hämta lagringsplatsens metadata (repomd.xml) för lagringsplatsen:_... Kontrollera sökvägen och försök igen"

Du måste använda en process för att undvika att certifikatet upphör att gälla i gamla bilder eller bilder som skapades strax före ett certifikats förfallodatum.

Lösning 1: Uppdatera RHUI-klientpaketet

Om du vill komma åt RHEL-lagringsplatser i betala per användning-system i molnmiljöer använder du RHUI. Som molnleverantör kan Azure skapa och publicera nyare klientkonfigurationsversioner för RPM när som helst, till exempel för följande uppgifter:

  • Ge åtkomst till en ny lagringsplats
  • Förnya certifikat
  • Göra andra paketeringsändringar

I den här situationen måste du installera det nya RHUI-paketet i systemet. Det här paketet har det förnyade certifikatet. Om du vill uppdatera RHUI-paketet kör du yum-kommandot :

sudo yum update -y --disablerepo='*' --enablerepo='*microsoft-azure*'

sudo yum update-kommandot kan även uppdatera klientcertifikatpaketet (beroende på din RHEL-version). Detta gäller även om kommandoutdata innehåller samma fel om utgångna SSL-certifikat som du ser för andra lagringsplatser. Om den här uppdateringen lyckas måste du återställa normal anslutning till andra RHUI-lagringsplatser så att du kan köra sudo yum update en andra gång.

Om du får felet "404" när du kör yum updatekan du försöka köra följande kommandon för att uppdatera yum-cachen:

sudo yum clean all
sudo yum makecache

Orsak 2: RHUI-certifikat saknas

Den virtuella Azure Red Hat Linux-datorn har redan RHUI Azure-paketet installerat. Certifikatet saknas dock i katalogen /etc/pki/rhui/product/ .

Om RHUI-certifikatet togs bort från den virtuella datorn av misstag visas följande felmeddelande när du försöker installera eller uppdatera ett paket:

sudo yum install <package-name>
Red Hat Enterprise Linux X for x86_64 - XXXX  0.0  B/s |   0  B     00:00  
Errors during downloading metadata for repository 'rhel-X-for-x86_64-XXXX-eus-rhui-rpms':  
  - Curl error (58): Problem with the local SSL certificate for https://rhui-3.microsoft.com/pulp/repos/content/eus/rhel8/rhui/X.X/x86_64/XXXXX/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:02001002:system library:fopen:No such file or directory, (no key found, wrong pass phrase, or wrong file format?)]

Lösning 2: Installera om PAKETET EUS, icke-EUS eller SAP RHUI

Installera om motsvarande RHUI-paket för att återskapa de saknade certifikaten på rätt plats.

Alla kommandon i följande steg ska köras med hjälp av rotbehörigheter eller genom att sudoange :

  1. Kontrollera att rhui-azure paketet (EUS, non-EUSeller SAP/E4S) är installerat. Gör detta genom att köra följande kommando:

    sudo rpm -qa | grep -i azure

    rhui-azure-rhelX-<>-X.X-XXX.noarch

    Mer information om Extended Update Support (EUS) eller RHUI-paket som inte är EUS finns i de länkade avsnitten i följande artiklar.

    Pakettyp Länk
    EUS RHUI-paket Red Hat-bilder anslutna till EUS-lagringsplatser
    RHUI-paket som inte är EUS Red Hat-bilder som är anslutna till icke-EUS-lagringsplatser
    Update Services for SAP Solutions-prenumerationer (SAP/E4S) RHUI-paket Red Hat-avbildningar anslutna till SAP/E4S-lagringsplatser

  2. Kontrollera att certifikatet finns:

    sudo ls -l /etc/pki/rhui/product/

    Kommentar

    I det här scenariot upptäcker du att filen saknas.

  3. Installera om motsvarande rhui-azure paket genom att yum reinstall köra kommandot:

    sudo yum reinstall $(rpm -qa | grep -i rhui-azure) --disablerepo=* --enablerepo="*microsoft-azure*"

  4. EUS Om lagringsplatsen eller E4S är installerad låser du variabelnreleasever:

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever

  5. Kontrollera att certifikatet finns genom att ls köra kommandot igen. Certifikatfilen bör visas nu:

    sudo ls -l /etc/pki/rhui/product/

Orsak 3: RHUI-paketet saknas

RHUI EUS-, icke-EUS- eller SAP/E4S-paketet saknas från den virtuella Red Hat-datorn, men lagringsplatsens konfigurationsfiler finns fortfarande i katalogen /etc/yum.repos.d/ .

När du försöker installera eller uppdatera ett paket får du följande felmeddelande:

sudo yum install <package-name>  
Red Hat Enterprise Linux X for x86_64 - XXXX  0.0  B/s |   0  B     00:00  
Errors during downloading metadata for repository 'rhel-X-for-x86_64-XXXX-XXX-rhui-rpms':  
  - Curl error (58): Problem with the local SSL certificate for https://rhui-3.microsoft.com/pulp/repos/content/eus/rhel8/rhui/X.X/x86_64/XXXXX/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:02001002:system library:fopen:No such file or directory, (no key found, wrong pass phrase, or wrong file format?)]

Lösning 3: Installera PAKETET EUS, icke-EUS eller SAP/E4S RHUI

Installera det saknade RHUI-paketet för EUS, icke-EUS eller SAP/E4S.

Alla följande kommandon ska köras med hjälp av rotbehörigheter eller genom att sudoange .

Installation av EUS RHUI-paket

  1. Kör yum install-kommandot för att installera rhui-azure-rhel7-eus-paketet:

    sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7-eus.config' install 'rhui-azure-rhel7-eus'

  2. Lås variabeln releasever :

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever

  3. Kontrollera att motsvarande lagringsplatser är tillgängliga och visa inga fel. Kör kommandot för att göra detta yum repolist :

    sudo yum repolist all

Kommentar

Om du använder en proxy i /etc/yum.conf eller /etc/dnf.confyum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X fungerar inte kommandot eftersom det inte innehåller dina proxyinställningar. I det här fallet använder du följande kommandon:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Ersätt rhui-microsoft-azure-rhelX-X-X-X och rhui-azure-rhel-X-X-X med de faktiska värdena efter behov.

Installation av RHUI-paket som inte är EUS

  1. Ta bort releasever-filen om den finns.

    sudo rm /etc/yum/vars/releasever

  2. rhui-azure-rhel7 Installera paketet genom att yum install köra kommandot:

    sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7.config' install 'rhui-azure-rhel7'

  3. Kontrollera att motsvarande lagringsplatser är tillgängliga och visa inga fel. Kör kommandot för att göra detta yum repolist :

    sudo yum repolist all

Kommentar

Om du använder en proxy i /etc/yum.conf eller /etc/dnf.confyum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X fungerar inte kommandot eftersom det inte innehåller dina proxyinställningar. I det här fallet använder du följande kommandon:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Ersätt rhui-microsoft-azure-rhelX-X-X-X och rhui-azure-rhel-X-X-X med de faktiska värdena efter behov.

INSTALLATION av RHEL 7 SAP/E4S/HANA RHUI-paket

Välj fliken för en SAP-avbildningstyp för att se motsvarande instruktioner.

Följande steg gäller om os-versionen är tidigare än RHEL 7.9 och den virtuella datorn skapades med hjälp av erbjudandeavbildningen RHEL-SAP-APPS .

  1. rhui-azure-rhel7-sapapps Installera paketet genom att yum install köra kommandot:

    sudo yum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel7-sapapps.config' install rhui-azure-rhel7-sapapps

  2. Lås variabeln releasever :

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/yum/vars/releasever

  3. Kontrollera att motsvarande lagringsplatser är tillgängliga och visa inga fel. Kör kommandot för att göra detta yum repolist :

    sudo yum repolist all

Kommentar

Om du använder en proxy i /etc/yum.conf eller /etc/dnf.confyum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X fungerar inte kommandot eftersom det inte innehåller dina proxyinställningar. I det här fallet använder du följande kommandon:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Ersätt rhui-microsoft-azure-rhelX-X-X-X och rhui-azure-rhel-X-X-X med de faktiska värdena efter behov.

INSTALLATION av RHEL 8 SAP/E4S/HANA RHUI-paket

Välj fliken för en SAP-avbildningstyp för att se motsvarande instruktioner.

Följande steg gäller om os-versionen är tidigare än den senaste versionen som stöds av SAP för RHEL 8.X och den virtuella datorn skapades med hjälp av erbjudandeavbildningen RHEL-SAP-APPS .

  1. rhui-azure-rhel8-sapapps Installera paketet genom att köra dnf-installationskommandot:

    sudo dnf --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel8-sapapps.config' install rhui-azure-rhel8-sapapps

  2. Lås variabeln releasever :

    sudo echo $(. /etc/os-release && echo $VERSION_ID) > /etc/dnf/vars/releasever

  3. Kontrollera att motsvarande lagringsplatser är tillgängliga och visa inga fel. Kör kommandot för att göra detta dnf repolist :

    sudo dnf repolist all

Kommentar

Om du använder en proxy i /etc/yum.conf eller /etc/dnf.confyum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X fungerar inte kommandot eftersom det inte innehåller dina proxyinställningar. I det här fallet använder du följande kommandon:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Ersätt rhui-microsoft-azure-rhelX-X-X-X och rhui-azure-rhel-X-X-X med de faktiska värdena efter behov.

INSTALLATION av RHEL 9 SAP/HANA RHUI-paket

Välj fliken för en SAP-avbildningstyp för att se motsvarande instruktioner.

Följande steg gäller om os-versionen är tidigare än den senaste versionen som är tillgänglig som stöds av SAP för RHEL 9.0och om den virtuella datorn skapades med hjälp av erbjudandeavbildningen RHEL-SAP-APPS .

  1. rhui-azure-rhel9-sapapps Installera paketet genom att dnf install köra kommandot:

    sudo dnf --config='https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhel9-sapapps.config' install rhui-azure-rhel9-sapapps

  2. Lås nivån releasever . För närvarande måste versionen vara 9.0 eller 9.2.

    sudo sh -c 'echo 9.2 > /etc/dnf/vars/releasever'

  3. Kontrollera att motsvarande lagringsplatser är tillgängliga och visa inga fel. Kör kommandot för att göra detta yum repolist :

    sudo dnf repolist all

Kommentar

Om du använder en proxy i /etc/yum.conf eller /etc/dnf.confyum --config='https://rhelimage.blob.core.windows.net/repositories/rhui-x-x-x-x install rhui-azure-rhel-X-X-X fungerar inte kommandot eftersom det inte innehåller dina proxyinställningar. I det här fallet använder du följande kommandon:

sudo wget https://rhelimage.blob.core.windows.net/repositories/rhui-microsoft-azure-rhelX-X-X-X.config
sudo mv rhui-microsoft-azure-rhelX-X-X-X.config /etc/yum.repos.d
sudo yum install rhui-azure-rhel-X-X-X

Ersätt rhui-microsoft-azure-rhelX-X-X-X och rhui-azure-rhel-X-X-X med de faktiska värdena efter behov.

Orsak 4: SSL CA-certifikat saknas

Certifikatfilen ca-bundle.crt togs bort manuellt, skadades eller är inaktuell.

Du kan få ett felmeddelande som liknar följande utdata när du försöker köra yum-kommandon:

# yum repolist  
Loaded plugins: langpacks, product-id, search-disabled-repos  
rhui-rhel-X-server-dotnet-rhui FAILED  
https://rhui-3.microsoft.com/pulp/repos//content/dist/rhel/rhui/server/X/XServer/x86_64/dotnet/1/os/repodata/70b2edf9a115dffa42d4dd66ba77e77bc3cad45d1143ed02df72ea58c92b59b5-primary.sqlite.bz2: [Errno 14] curl#77 - "Problem with the SSL CA cert (path? access rights?)"
Trying other mirror.

Lösning 4: Uppdatera eller installera om CA-certifikatpaketet

  1. Ladda ned det senaste ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm-paketet från en annan virtuell dator som har lagringsplatsåtkomst och samma Red Hat-version och version. Kopiera sedan paketet till den berörda virtuella datorn:

    sudo yumdownloader ca-certificates
sudo scp ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm <user-name>@<affected-VM-IP-address>:/tmp

    Kommentar

    Se till att du ersätter motsvarande platshållare för användare och IP-adresser. Se också till att du ersätter paketnamnet ca-certificates-XXXX.X.XX-XX.elX_X.noarch.rpm.

  2. Uppdatera, installera eller installera om ca-certificate-paketet när det har kopierats till den berörda virtuella datorn:

    1. Kontrollera om paketet redan är installerat:

      sudo rpm -qa | grep "ca-certificates"

      • Om paketet saknas installerar du det genom att yum install köra kommandot:

        sudo yum install ca-certificates-*.noarch.rpm --disablerepo=*

      • Om paketet fortfarande är installerat kör du yum reinstall-kommandot för att installera om det:

        sudo yum reinstall ca-certificates-*.noarch.rpm --disablerepo=*

    2. Om du vill återskapa eller uppdatera motsvarande certifikat kör du kommandot update-ca-trust :

      sudo update-ca-trust

Orsak 5: Verifieringsfel i RHEL version 8 eller 9 ("CA-certifikatnyckeln är för svag")

Systemet försöker ansluta till en server som innehåller ett certifikat som signeras med hjälp av 2048-bitars RSA-nycklar. Systemet har dock en FUTURE-principinställning som förbjuder den kryptografiska algoritmen. Följande felmeddelanden visas i filen /var/log/messages eller /var/log/dnf.log :

2023-03-13T19:07:55+0000 DEBUG error: Curl error (60): SSL peer certificate or SSH remote key was not OK for https://rhui4-1.microsoft.com/pulp/repos/content/dist/rhel9/rhui/9/x86_64/supplementary/os/repodata/repomd.xml [SSL certificate problem: CA certificate key too weak] (https://rhui4-1.microsoft.com/pulp/repos/content/dist/rhel9/rhui/9/x86_64/supplementary/os/repodata/repomd.xml).

 - Curl error (58): Problem with the local SSL certificate for https://rhui-2.microsoft.com/pulp/repos/content/e4s/rhel8/rhui/8.4/x86_64/sap/os/repodata/repomd.xml [could not load PEM client certificate, OpenSSL error error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small, (no key found, wrong pass phrase, or wrong file format?)]

Standardinställningen för systemprinciper är DEFAULT. I det här scenariot ändrades standardinställningen från DEFAULT till FUTURE eller CUSTOM. Principen FUTURE inaktiverar vissa algoritmer som använder 2 048 bitar, till exempel SHA-1, RSA och Diffie-Hellman. Principen CUSTOM kan också inaktivera dessa algoritmer. Om du vill identifiera det aktuella principinställningsläget kör du följande kommando för uppdateringskrypteringsprinciper :

sudo update-crypto-policies --show

DEFAULT:FUTURE

Lösning 5: Återgå till standardprincipen för kryptografiska system

Återställ kryptografin till systemprincipinställningen DEFAULT genom att följa dessa steg:

  1. Ändra tillbaka systemprincipinställningen update-crypto-policies till genom att DEFAULT köra kommandot:

    sudo update-crypto-policies --set DEFAULT

  2. Kontrollera att principändringen gick igenom genom att köra update-crypto-policies-kommandot igen:

    sudo update-crypto-policies --show

  3. Testa för att kontrollera att felet är åtgärdat. Kör kommandot för att göra detta dnf install :

    sudo dnf install <package-name>

Mer information om kryptografisk princip finns i Starka kryptostandarder i RHEL 8 och utfasning av svaga kryptoalgoritmer.

Ansvarsfriskrivning för information från tredje part

De produkter från andra tillverkare som diskuteras i denna artikel tillverkas oberoende av Microsoft. Produkternas funktion eller tillförlitlighet kan därför inte garanteras.

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.