红帽全球峰会第 12 章 安装和克隆故障排除
本章论述了在安装证书系统时遇到的一些比较常见的安装和升级问题。
12.1. 安装
- 问: 我无法看到任何证书系统软件包或更新。
- 问: 初始化脚本会返回 OK 状态,但我的 CA 实例没有响应。这是因为什么?
- 问: 我想自定义 CA 签名证书的主题名称,但不是使用 pkispawn 互动安装模式进行此操作的方法。
- 问: 我想为 root 证书颁发机构设置不同的证书有效期和扩展 - 但是,我不会看到使用 pkispawn 设置它的方法。
- 问: 在配置子系统实例后,我试图连接到 Web 服务页面时,会看到一个 HTTP 500 错误代码。
我无法看到任何证书系统软件包或更新。
验证您的系统是否已正确注册到红帽订阅管理服务,分配了有效的订阅,并且启用了证书系统存储库。详情请查看 第 6.3.2.3 节 “附加红帽订阅并启用证书系统软件包存储库”。
初始化脚本会返回 OK 状态,但我的 CA 实例没有响应。这是因为什么?
这不应发生。通常(但不总是)表示 CA 的监听程序问题,但可能有很多不同的原因。要查看发生错误,请运行以下命令检查日志 日志 :
journalctl -u pki-tomcatd@instance_name.service
journalctl -u pki-tomcatd@instance_name.service
或者,检查 /var/log/pki/ instance_name/subsystem_type/debug 中的调试日志文件。
一种情况是 CA 有 PID,表示进程正在运行,但没有为服务器打开任何监听程序。这将在 catalina.out 文件中返回 Java 调用类错误:
这可能意味着您有错误的 JSS 或 NSS 版本。这个过程需要在路径中使用 libnss3.so。使用这个命令进行检查:
ldd /usr/lib64/libjss4.so
ldd /usr/lib64/libjss4.so
如果没有找到 libnss3.so,请在 /etc/sysconfig/instance_name 配置文件中设置正确的类路径。然后,使用 systemctl restart pki-tomcatd@instance_name.service 命令重启 CA。
我想自定义 CA 签名证书的主题名称,但不是使用 pkispawn 互动安装模式进行此操作的方法。
要做到这一点,需要一个代表 /usr/share/pki/server/etc/default.cfg 文件的配置文件。请参阅 pkispawn (8) 和 pki_default.cfg (5) 手册页。
我想为 root 证书颁发机构设置不同的证书有效期和扩展 - 但是,我不会看到使用 pkispawn 设置它的方法。
您目前无法使用 pkispawn 来执行此操作。但是,有一种编辑 pkispawn 使用的证书配置文件来生成 root CA 证书。
您必须在运行 pkispawn 前 执行此操作,以创建新的 CA 实例。
备份
pkispawn使用的原始 CA 证书配置文件。cp -p /usr/share/pki/ca/conf/caCert.profile /usr/share/pki/ca/conf/caCert.profile.orig
# cp -p /usr/share/pki/ca/conf/caCert.profile /usr/share/pki/ca/conf/caCert.profile.origCopy to Clipboard Copied! Toggle word wrap Toggle overflow 打开配置向导使用的 CA 证书配置文件。
vim /usr/share/pki/ca/conf/caCert.profile
# vim /usr/share/pki/ca/conf/caCert.profileCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将 Validity Default 中的有效期重置为您想要的任何有效期。例如,将周期改为两年:
2.default.class=com.netscape.cms.profile.def.ValidityDefault 2.default.name=Validity Default 2.default.params.range=7200
2.default.class=com.netscape.cms.profile.def.ValidityDefault 2.default.name=Validity Default 2.default.params.range=7200Copy to Clipboard Copied! Toggle word wrap Toggle overflow 通过在配置集中创建新的默认条目并将其添加到列表中来添加任何扩展。例如,要添加 Basic Constraint Extension,请添加默认值(在本例中是 default #9)):
9.default.class=com.netscape.cms.profile.def.BasicConstraintsExtDefault 9.default.name=Basic Constraint Extension Constraint 9.default.params.basicConstraintsCritical=true 9.default.params.basicConstraintsIsCA=true 9.default.params.basicConstraintsPathLen=2
9.default.class=com.netscape.cms.profile.def.BasicConstraintsExtDefault 9.default.name=Basic Constraint Extension Constraint 9.default.params.basicConstraintsCritical=true 9.default.params.basicConstraintsIsCA=true 9.default.params.basicConstraintsPathLen=2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 然后,将默认数量添加到默认值列表中,以使用新默认值:
list=2,4,5,6,7,8,9
list=2,4,5,6,7,8,9Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
设置新配置集后,然后运行
pkispawn来创建新 CA 实例并完成配置向导。
在配置子系统实例后,我试图连接到 Web 服务页面时,会看到一个 HTTP 500 错误代码。
这是一个意外的通用错误,可能会造成很多不同原因。在 日志、系统 中检查 和调试 实例的日志文件,以查看发生了哪些错误。这列出了几个常见错误,但有很多其他可能。
错误 11:LDAP 数据库没有运行。
如果用于内部数据库的红帽目录服务器实例没有运行,则您无法连接实例。这在实例未就绪 的日志文件中 会变得明显:
java.io.IOException: CS server is not ready to serve.
com.netscape.cms.servlet.base.CMSServlet.service(CMSServlet.java:409)
javax.servlet.http.HttpServlet.service(HttpServlet.java:688)
java.io.IOException: CS server is not ready to serve.
com.netscape.cms.servlet.base.CMSServlet.service(CMSServlet.java:409)
javax.servlet.http.HttpServlet.service(HttpServlet.java:688)Tomcat 日志将特别识别 LDAP 连接的问题:
5558.main - [29/Oct/2010:11:13:40 PDT] [8] [3] In Ldap (bound) connection pool to host ca1 port 389, Cannot connect to LDAP server. Error: netscape.ldap.LDAPException: failed to connect to server ldap://ca1.example.com:389 (91)
5558.main - [29/Oct/2010:11:13:40 PDT] [8] [3] In Ldap (bound) connection pool
to host ca1 port 389, Cannot connect to LDAP server. Error:
netscape.ldap.LDAPException: failed to connect to server
ldap://ca1.example.com:389 (91)
如实例的调试日志一样:
[29/Oct/2010:11:39:10][main]: CMS:Caught EBaseException
Internal Database Error encountered: Could not connect to LDAP server host
ca1 port 389 Error netscape.ldap.LDAPException: failed to connect to
server ldap://ca1:389 (91)
at com.netscape.cmscore.dbs.DBSubsystem.init(DBSubsystem.java:262)
[29/Oct/2010:11:39:10][main]: CMS:Caught EBaseException
Internal Database Error encountered: Could not connect to LDAP server host
ca1 port 389 Error netscape.ldap.LDAPException: failed to connect to
server ldap://ca1:389 (91)
at com.netscape.cmscore.dbs.DBSubsystem.init(DBSubsystem.java:262)错误 2: VPN 阻止访问。
另一个可能是通过 VPN 连接到子系统。VPN 必须有一个 配置选项,如 Use this connection only for resources enabled on its network。如果没有启用该选项,则实例的 Tomcat 服务的日志文件显示一系列连接错误,从而导致 HTTP 500 错误:
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}