Troubleshooting: OnCommand Zertifikat

Troubleshooting: OnCommand Core

Die OnCommand Installationen kommen nun in ein „gewisses“ Alter und nun läuft das SSL-Zertifikat ab. Somit kann keine Kommunikation mehr zwischen den Host Packages der VCenter und dem OnCommand Core stattfinden. Leider ist aus der Fehlermeldung auf die Schnelle nicht zu sehen, dass es sich um ein abgelaufenes Zertifikat handelt.

Im OnCommand erscheint nur diese Fehlermeldung:

SSL1

Es kann an 3 Stellen festgestellt werden, dass es das Zertifikat betrifft

1.Im vCenter-Server OnCommandHostSvc.log
12.27.2013 11:08:02:173 : ProcessID= 1844 ThreadID= 6 Old dfmSoapClient thrown exception : Das Kommunikationsobjekt „System.ServiceModel.Channels.ServiceChannel“ kann nicht für die Kommunikation verwendet werden, da es abgebrochen wurde.
12.27.2013 11:08:02:173 : ProcessID= 1844 ThreadID= 6 NewClient create SecureClientUsingCertificates client
12.27.2013 11:08:02:173 : ProcessID= 1844 ThreadID= 6 ApiDispatcher Client exit
12.27.2013 11:08:02:173 : ProcessID= 1844 ThreadID= 6 HostServiceDiscoverInterceptor::Invoke enter
12.27.2013 11:08:02:188 : ProcessID= 1844 ThreadID= 6 CheckHostServiceCertificate: Certificate [E=support@NetApp.com, CN=oncommand.teamix.lokal, OU=Storage Management, O=NetApp, L=San Jose, S=California, C=US] received. Errors [RemoteCertificateChainErrors]
12.27.2013 11:08:02:188 : ProcessID= 1844 ThreadID= 6 CheckHostServiceCertificate: Certificate validation failed. Denied
12.27.2013 11:08:02:188 : ProcessID= 1844 ThreadID= 6 invoke has CommunicationException, details: Es konnte keine Vertrauensstellung für den sicheren SSL/TLS-Kanal mit Autorität oncommand.teamix.lokal:8488 eingerichtet werden.

oder 2. auf der CLI des OnCommand Core Servers:

SSL2

HTTPS failed. Soll heissen, da stimmt eine HTTPS Communication nicht. HTTPS sprechen die Instanzen untereinander.

Oder 3. das Zertikat selbst überprüfen:

SSL3

Validity not after 19. Dezember 2013:

Das Zertifikat ist nach dem 19.12.2013 nicht mehr gültig.

Zielführend ist es sicherlich mal schnell die MMC, auf dem der OnCommand Core läuft,  zu starten und den Zertifikate Manager einzubinden und nachsehen.

Hier werden alle Zertificate angezeigt, die der OnCommand kennt und benutzen kann.

SSL4

Problemlösung:

Da ein Zertifikat aus Designgründen einer CA nicht verlängert werden kann, bleibt es bei einer einzigen Lösungsmöglichkeit.

Es muss ein neues neues passendes Zertifikat erstellt werden.

SSL5

Das Zertifikat wurde erstellt und nun mit einem RELOAD des SSL Dienstes dem OnCommand Core Dienst bereitgestellt.

SSL6

Außerdem sollte auf den Host-Services in der „NETAPP-Powershell“ des jeweiligen VCenter´s folgendes ausführt werden:

Der Host muss wieder autorisiert werden, damit die Kommunikation wieder stattfinden kann.

SSL7

SSL8

NETAPP Host Package Service nun bei allen VCentern neu starten.

Das nächste Bild zeigt, das erst ein VCerver neu gestartet wurde und dessen Kommunikation wieder in Ordnung ist.

SSL9

Bitte nun nach und nach alle VCenter Server neu starten.

Obacht: –> in der MMC ist das neue Zertifikat erst nach einem –> Aktualisieren <– klicken zu sehen 🙂

Wir hatten uns auch gewundert, das wir ein neues Zertifikat erzeugten und das Datum änderte sich ( Bayrisch: um´s verrecken ) nicht.

 

SSL10

Ich hoffe dieser Artikel kann dem ein oder anderen Admin in seiner Arbeit helfen.

Happy Storage

Matthias

 

Matthias Kellerer

Matthias Kellerer ist seit Oktober 2013 für die Firma teamix GmbH tätig. Sein Fokus liegt hauptsächlich auf NetApp Hard- und Software, die angrenzenden Themen Virtualisierung und Netzwerk sind für Ihn dabei auch kein Neuland.

 
Kommentare

Noch keine Kommentare vorhanden.

Hinterlassen Sie einen Kommentar

Time limit is exhausted. Please reload CAPTCHA.