Problèmes liés aux certificats

Lors de l'installation d'agents UNIX/Linux, vous pouvez voir l'erreur suivante.

Event Type:        Error
Event Source:    Cross Platform Modules
Event Category:                None
Event ID:              256
Date:                     4/1/2009
Time:                     4:02:27 PM
User:                     N/A
Computer:          COMPUTER1
Description:
Unexpected ScxCertLibException: Can't decode from base64
; input data is: 

Cette erreur se produit lorsque le module de signature de certificats est appelé, mais que le certificat est vide. Cette erreur peut être provoquée par une panne de connexion SSH au système distant.

Si vous voyez cette erreur, procédez comme suit :

1. Assurez-vous que le démon SSH sur l'hôte distant est en cours d'exécution.

2. Assurez-vous que vous pouvez ouvrir une session SSH avec l'hôte distant en utilisant les informations d'identification spécifiées dans l'Assistant Détection.

3. Assurez-vous que les informations d'identification spécifiées dans l'Assistant Détection ont les privilèges requis pour la détection. Pour plus d'informations, consultez Capacités requises pour les comptes UNIX et Linux.

Le nom commun (CN) utilisé dans le certificat doit correspondre au nom de domaine complet (FQDN) qui est résolu par Operations Manager.  Si le nom commun ne correspond pas, l'erreur suivante s'affiche lors de l'exécution de l'Assistant Détection :

The SSL certificate contains a common name (CN) that does not match the hostname

Vous pouvez afficher les détails de base du certificat sur l'ordinateur UNIX ou Linux en entrant la commande suivante :

openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates

Lorsque vous faites cela, vous voyez un résultat semblable à ce qui suit :

subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
notBefore=Mar 25 05:21:18 2008 GMT
notAfter=Mar 20 05:21:18 2029 GMT

Validez les noms d'hôte et les dates et assurez-vous qu'ils correspondent au nom résolu par le serveur d'administration Operations Manager.

Si les noms d'hôte ne correspondent pas, utilisez l'une des actions suivantes pour résoudre le problème :

• Si le nom d'hôte UNIX ou Linux est correct mais que le serveur d'administration Operations Manager le résout de façon incorrecte, modifiez l'entrée DNS pour correspondre au FQDN correct ou ajoutez une entrée au fichier d'hôte sur le serveur Operations Manager.

• Si le nom d'hôte UNIX ou Linux est incorrect, effectuez l'une des opérations suivantes :

  • Indiquez le nom d'hôte correct sur l'hôte UNIX ou Linux et créez un nouveau certificat.

  • Créez un nouveau certificat avec le nom d'hôte de votre choix.

Pour modifier le nom du certificat :

Si le certificat a été créé avec un nom incorrect, vous pouvez modifier le nom d'hôte et recréer le certificat et la clé privée. Pour ce faire, exécutez la commande suivante sur l'ordinateur UNIX ou Linux :

/opt/microsoft/scx/bin/tools/scxsslconfig -f -v

L'option –f force le remplacement des fichiers dans /etc/opt/microsoft/scx/ssl.

Vous pouvez également modifier le nom d'hôte et le nom de domaine sur le certificat à l'aide des commutateurs –h et –d, comme dans l'exemple suivant :

/opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>

Redémarrez l'agent en exécutant la commande suivante :

/opt/microsoft/scx/bin/tools/scxadmin -restart

Pour ajouter une entrée au fichier d'hôte :

Si le nom de domaine complet n'est pas dans DNS inverse, vous pouvez ajouter une entrée au fichier d'hôte qui se trouve sur le serveur d'administration pour fournir la résolution de nom. Le fichier Hosts se trouve dans le dossier \Windows\System32\Drivers\etc.  Une entrée dans le fichier Hosts est une combinaison de l'adresse IP et du nom de domaine complet (FQDN).

Par exemple, pour ajouter une entrée pour l'hôte nommé « newhostname.newdomain.name » avec l'adresse IP 192.168.1.1, ajoutez les éléments suivants à la fin du fichier d'hôte :

192.168.1.1     newhostname.newdomain.name