NBU服务端生成证书/客户端获取、更新证书方式/7656、7654、7640、76XX报错处理

创建重发令牌

如果非主控主机已在主服务器上注册但其基于主机ID的证书不再有效,则可以重新颁发基于主机ID的证书。例如,证书在过期,被撤销或丢失时无效。

重发令牌是一种可用于重新颁发证书的令牌。它是一种特殊类型的令牌,因为它保留与原始证书相同的主机ID。由于重发令牌绑定到特定主机,因此该令牌不能用于为其他主机请求证书。

使用NetBackup管理控制台创建重新签发令牌

  1. 在NetBackup管理控制台中,展开“安全管理”>“证书管理”。
  2. 在右侧窗格中,选择需要重发令牌的主机。
  3. 从“操作”菜单中,选择“  生成重新发行标记”
  4. 在“创建重新发行标记”对话框中,输入标记的名称。
  5. 从“ 有效期限”  选项中选择令牌有效期的日期  

    注意:

    创建新令牌时,“可用最大使用率”设置不可用。必须为特定主机使用重发令牌一次。

  6. 在“  原因”  字段中,输入重发令牌的原因。原因在日志中显示为审核事件。
  7. 点击  创建
  8. 重发令牌出现在对话框中。选择“  复制”  将令牌值保存到剪贴板。
  9. 将令牌值传递给非主控主机的管理员。如何传达令牌取决于环境中的各种安全因素。令牌可以通过电子邮件,文件或口头传输。

    非主控主机的管理员部署令牌以获取另一个基于主机ID的证书。有关说明,请参阅以下主题:

    请参阅  部署基于主机ID的证书

 

使用nbcertcmd命令创建重新签发令牌

  1. 主服务器管理员必须登录NetBackup Web管理服务才能执行此任务。使用以下命令登录:

    bpnbat -login -logintype WEB

    请参阅  nbcertcmd命令选项的Web登录要求

  2. 在主服务器上运行以下命令之一:

    使用需要重新颁发证书的主机名:

    nbcertcmd -createToken -name  token_name  -reissue -host  host_name

    注意:

    您必须提供要重新颁发证书的主机的主要名称。如果提供为主机添加的任何主机ID到主机名映射,则无法重新颁发证书。

    使用需要重新颁发证书的主机ID:

    nbcertcmd -createToken -name  TOKEN_NAME  -reissue -hostId  HOST_ID

    附加参数可用于指示有效期和创建原因。

为重命名的NetBackup主机请求证书的其他步骤

除了重新发出令牌之外,还需要执行以下步骤来为重命名的NetBackup主机请求证书。

在主机名更改后为主机请求证书

  1. 主服务器的NetBackup管理员为重命名的NetBackup主机生成重发令牌。
  2. 使用NetBackup管理控制台将新主机名添加为批准的主机ID到主机名之一映射。

    请参阅  将主机ID添加到主机名映射

    或者,您可以使用  nbhostmgmt -add  命令行界面选项。

    有关nbhostmgmt  命令的详细信息  ,请参见“ NetBackup命令参考指南 ”中的“ nbhostmgmt ”部分  

  3. NetBackup管理员必须撤消重命名的主机的基于主机ID的证书。

    请参阅  撤消基于主机ID的证书

    注意:

    证书被撤销后,主机无法与NetBackup Web管理控制台服务(nbwmc)通信。当主机使用重发令牌获取新证书时,主机可以 再次nbwmc通信  

  4. 撤消证书后,非主控主机的管理员必须使用重发令牌获取重命名主机的证书。

    请参阅  部署基于主机ID的证书

 

客户端证书过期更新

 

关于基于主机ID的证书过期和续订

基于NetBackup主机ID的证书在其发布日期后一年到期。它们会在到期日期前180天自动续订。定期发送证书续订请求,直到证书成功续订。自动续订可确保续订过程对用户透明。

续订请求始终使用现有证书进行身份验证。因此,无论证书部署安全级别如何,续订过程都不需要使用授权令牌。

如果现有证书尚未过期,则主机管理员可以启动手动续订请求,如以下过程中所述。

手动续订基于主机ID的证书

  • 主机管理员在非主控主机上运行以下命令:

    nbcertcmd -renewCertificate

    • 可以通过指定-server选项手动续订与主域以外的NetBackup域对应的证书

    • 使用-cluster选项更新NetBackup群集服务器的群集证书。

在证书已过期的情况下,主机管理员必须手动重新颁发证书。

请参阅关于重新发布基于主机ID的证书

强制或覆盖证书部署

在某些情况下,可能需要将-force选项与nbcertcmd -getCertificate命令一起使用。例如,强制将证书部署到主机或覆盖现有的基于主机ID的证书信息并获取新证书。

强制部署证书

主机可能已经拥有基于主机ID的证书,但需要使用新证书覆盖旧证书。例如,当使用新服务器替换主服务器时,这是必需的。由于客户端具有旧服务器的旧证书,因此在客户端上运行nbcertcmd -getCertificate命令,它将失败并显示以下错误:

服务器已存在证书。

使用以下过程覆盖现有的基于主机ID的证书信息并获取新证书。

在主机上强制部署证书

  • 主机管理员在非主控主机上运行以下命令:

    nbcertcmd -getCertificate -server master_server_name -force

    • 根据主服务器上的安全设置,可能还需要指定令牌。

      请参阅创建授权令牌

    • 使用-cluster选项部署群集证书。

覆盖现有的基于主机ID的证书信息并获取新证书

主机可能已颁发证书,但随着时间的推移,证书已损坏或证书文件已被删除。

非主控主机的管理员可以运行以下命令来确认证书的状况:

nbcertcmd -listCertDetails

  • 如果证书已损坏,则该命令将失败并显示以下错误:

    无法从本地证书存储区读取证书。

  • 如果未显示证书详细信息,则证书不可用。

使用以下过程覆盖现有的基于主机ID的证书信息并获取新证书。

获取新的基于主机ID的证书

  • 主机管理员在非主控主机上运行以下命令:

    nbcertcmd -getCertificate -force

    • 根据主服务器上的安全设置,可能还需要指定令牌。

      请参阅创建授权令牌

    • 使用-cluster选项部署群集证书。

     

    客户端报错7654

    In the case the client CRL is corrupt, the bpcd log on the client will show a status 7654:
    13:50:23.731 [12560] <16> dump_proxy_info: statusmsg: The revocation status of the peer host certificate cannot be verified using the Certificate Revocation List (CRL), because no CRL is present from the certificate issuer's domain., nbu status = 7654, severity = 2
     
    To check the state of the client or media server, execute nbcertcmd -hostselfcheck .  If the CRL is corrupt, it will exit with an error 9301:
    nbcertcmd -hostselfcheck
    Unable to read CRL for server = nbmaster2, error = 9301.
    EXIT STATUS 9301: Failed to decode certificate revocation list.

     

     

    Solution

    To resolve this issue, complete the following on the host (client or media server) reporting the error:

    Fetch an updated CRL from the master server:
    nbcertcmd -getCRL
     
    If successful it will return the following:
    nbcertcmd -getCRL
    Successfully retrieved certificate revocation list for master server [nbmaster2]

     
    Once an updated CRL has been fetched, nbcertcmd -hostselfcheck will be successful:
    nbcertcmd -hostselfcheck
    The certificate is not revoked.
     

     
posted @ 2019-05-09 16:35  HR·  阅读(5048)  评论(0编辑  收藏  举报