Zertifikatsprobleme

Bei der Installation von UNIX/Linux-Agents wird möglicherweise die folgende Fehlermeldung angezeigt:

Event Type:        Error
Event Source:    Cross Platform Modules
Event Category:                None
Event ID:              256
Date:                     4/1/2009
Time:                     4:02:27 PM
User:                     N/A
Computer:          COMPUTER1
Description:
Unexpected ScxCertLibException: Can't decode from base64
; input data is: 

Dieser Fehler tritt auf, wenn der Aufruf des Zertifikatsignaturmoduls mit einem leeren Zertifikat erfolgt. Ursache hierfür kann z. B. eine fehlerhafte SSH-Verbindung mit dem Remotesystem sein.

Gehen Sie folgendermaßen vor, wenn dieser Fehler angezeigt wird:

1. Stellen Sie sicher, dass der SSH-Daemon auf dem Remotehost ausgeführt wird.

2. Stellen Sie sicher, dass Sie eine SSH-Remotehostsitzung mithilfe der im Ermittlungs-Assistenten angegebenen Anmeldeinformationen starten können.

3. Stellen Sie sicher, dass die im Ermittlungs-Assistenten angegebenen Anmeldeinformationen über ausreichende Berechtigungen für die Ermittlung verfügen. Weitere Informationen finden Sie unter Erforderliche Eigenschaften von UNIX- und Linux-Konten.

Der im Zertifikat verwendete allgemeine Name (CN) muss mit dem voll qualifizierten Domänennamen (FQDN) übereinstimmen, der von Operations Manager aufgelöst wird.  Ist dies nicht der Fall, wird bei Ausführung des Ermittlungs-Assistenten der folgende Fehler angezeigt:

The SSL certificate contains a common name (CN) that does not match the hostname

Sie können die wichtigsten Zertifikatdetails auf dem UNIX- oder Linux-Computer anzeigen, indem Sie den folgenden Befehl eingeben:

openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates

Daraufhin werden Informationen der folgenden Art angezeigt:

subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
notBefore=Mar 25 05:21:18 2008 GMT
notAfter=Mar 20 05:21:18 2029 GMT

Überprüfen Sie die Hostnamen und Daten, und stellen Sie sicher, dass sie dem Namen entsprechen, der vom Operations Manager-Verwaltungsserver aufgelöst wird.

Führen Sie, falls die Hostnamen nicht übereinstimmen sollten, eine der folgenden Aktionen aus, um das Problem zu beheben:

• Wenn der UNIX- oder Linux-Hostname richtig angegeben ist, vom Operations Manager-Verwaltungsserver jedoch nicht ordnungsgemäß aufgelöst werden kann, können Sie entweder den DNS-Eintrag so bearbeiten, dass er dem richtigen FQDN entspricht, oder einen Eintrag zur Hostdatei auf dem Operations Manager-Server hinzufügen.

• Wenn der UNIX- oder Linux-Hostname fehlerhaft ist, führen Sie einen der folgenden Schritte aus:

  • Korrigieren Sie den Hostnamen auf dem UNIX- oder Linux-Host, und erstellen Sie ein neues Zertifikat.

  • Erstellen Sie ein neues Zertifikat mit dem gewünschten Hostnamen.

So ändern Sie den Namen des Zertifikats

Wenn das Zertifikat mit einem falschen Namen erstellt wurde, können Sie den Hostnamen ändern und das Zertifikat sowie den privaten Schlüssel erneut erstellen. Führen Sie hierzu den folgenden Befehl auf dem UNIX- oder Linux-Computer aus:

/opt/microsoft/scx/bin/tools/scxsslconfig -f -v

Mit der Option –f werden die Dateien unter "/etc/opt/microsoft/scx/ssl" überschrieben.

Mithilfe der Switches –h und –d können Sie außerdem den im Zertifikat angegebenen Host- bzw. Domänennamen ändern, wie im folgenden Beispiel dargestellt:

/opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>

Starten Sie den Agent neu, indem Sie den folgenden Befehl ausführen:

/opt/microsoft/scx/bin/tools/scxadmin -restart

So fügen Sie einen Eintrag zur Hostdatei hinzu:

Sofern es sich bei dem FQDN nicht um einen Reversenamen handelt, können Sie für die Namensauflösung einen Eintrag zur Hostdatei hinzufügen, welche sich auf dem Verwaltungsserver befindet. Die Hostdatei befindet sich im Ordner "\Windows\System32\Drivers\etc".  Einträge in der Hostdatei setzen sich aus der IP-Adresse und dem FQDN zusammen.

Wollen Sie beispielsweise einen Eintrag für den Host mit der Bezeichnung „newhostname.newdomain.name“ mit 192.168.1.1 als IP-Adresse hinzufügen, müssen Sie Folgendes am Ende der Hostdatei hinzufügen:

192.168.1.1     newhostname.newdomain.name