NBU服务端生成证书/客户端获取、更新证书方式/7656、7654、7640、76XX报错处理

创建重发令牌

如果非主控主机已在主服务器上注册但其基于主机ID的证书不再有效，则可以重新颁发基于主机ID的证书。例如，证书在过期，被撤销或丢失时无效。

重发令牌是一种可用于重新颁发证书的令牌。它是一种特殊类型的令牌，因为它保留与原始证书相同的主机ID。由于重发令牌绑定到特定主机，因此该令牌不能用于为其他主机请求证书。

使用NetBackup管理控制台创建重新签发令牌

1. 在NetBackup管理控制台中，展开“安全管理”>“证书管理”。
2. 在右侧窗格中，选择需要重发令牌的主机。
3. 从“操作”菜单中，选择“  生成重新发行标记”。
4. 在“创建重新发行标记”对话框中，输入标记的名称。
5. 从“ 有效期限”  选项中选择令牌有效期的日期  。

   注意：

   创建新令牌时，“可用最大使用率”设置不可用。必须为特定主机使用重发令牌一次。

6. 在“  原因”  字段中，输入重发令牌的原因。原因在日志中显示为审核事件。
7. 点击  创建。
8. 重发令牌出现在对话框中。选择“  复制”  将令牌值保存到剪贴板。
9. 将令牌值传递给非主控主机的管理员。如何传达令牌取决于环境中的各种安全因素。令牌可以通过电子邮件，文件或口头传输。

   非主控主机的管理员部署令牌以获取另一个基于主机ID的证书。有关说明，请参阅以下主题：

   请参阅  部署基于主机ID的证书。

 

使用nbcertcmd命令创建重新签发令牌

1. 主服务器管理员必须登录NetBackup Web管理服务才能执行此任务。使用以下命令登录：

   bpnbat -login -logintype WEB

   请参阅  nbcertcmd命令选项的Web登录要求。

2. 在主服务器上运行以下命令之一：

   使用需要重新颁发证书的主机名：

   nbcertcmd -createToken -name  token_name  -reissue -host  host_name

   注意：

   您必须提供要重新颁发证书的主机的主要名称。如果提供为主机添加的任何主机ID到主机名映射，则无法重新颁发证书。

   使用需要重新颁发证书的主机ID：

   nbcertcmd -createToken -name  TOKEN_NAME  -reissue -hostId  HOST_ID

   附加参数可用于指示有效期和创建原因。

为重命名的NetBackup主机请求证书的其他步骤

除了重新发出令牌之外，还需要执行以下步骤来为重命名的NetBackup主机请求证书。

在主机名更改后为主机请求证书

1. 主服务器的NetBackup管理员为重命名的NetBackup主机生成重发令牌。
2. 使用NetBackup管理控制台将新主机名添加为批准的主机ID到主机名之一映射。

   请参阅  将主机ID添加到主机名映射。

   或者，您可以使用  nbhostmgmt -add  命令行界面选项。

   有关nbhostmgmt  命令的详细信息  ，请参见“ NetBackup命令参考指南 ”中的“ nbhostmgmt ”部分  。

3. NetBackup管理员必须撤消重命名的主机的基于主机ID的证书。

   请参阅  撤消基于主机ID的证书。

   注意：

   证书被撤销后，主机无法与NetBackup Web管理控制台服务（nbwmc）通信。当主机使用重发令牌获取新证书时，主机可以 再次与nbwmc通信  。

4. 撤消证书后，非主控主机的管理员必须使用重发令牌获取重命名主机的证书。

   请参阅  部署基于主机ID的证书。

 

客户端证书过期更新

 

关于基于主机ID的证书过期和续订

基于NetBackup主机ID的证书在其发布日期后一年到期。它们会在到期日期前180天自动续订。定期发送证书续订请求，直到证书成功续订。自动续订可确保续订过程对用户透明。

续订请求始终使用现有证书进行身份验证。因此，无论证书部署安全级别如何，续订过程都不需要使用授权令牌。

如果现有证书尚未过期，则主机管理员可以启动手动续订请求，如以下过程中所述。

手动续订基于主机ID的证书

• 主机管理员在非主控主机上运行以下命令：

  nbcertcmd -renewCertificate

  • 可以通过指定-server选项手动续订与主域以外的NetBackup域对应的证书。

  • 使用-cluster选项更新NetBackup群集服务器的群集证书。

在证书已过期的情况下，主机管理员必须手动重新颁发证书。

请参阅关于重新发布基于主机ID的证书。

强制或覆盖证书部署

在某些情况下，可能需要将-force选项与nbcertcmd -getCertificate命令一起使用。例如，强制将证书部署到主机或覆盖现有的基于主机ID的证书信息并获取新证书。

强制部署证书

主机可能已经拥有基于主机ID的证书，但需要使用新证书覆盖旧证书。例如，当使用新服务器替换主服务器时，这是必需的。由于客户端具有旧服务器的旧证书，因此在客户端上运行nbcertcmd -getCertificate命令时，它将失败并显示以下错误：

服务器已存在证书。

使用以下过程覆盖现有的基于主机ID的证书信息并获取新证书。

在主机上强制部署证书

• 主机管理员在非主控主机上运行以下命令：

  nbcertcmd -getCertificate -server master_server_name -force

  • 根据主服务器上的安全设置，可能还需要指定令牌。

    请参阅创建授权令牌。

  • 使用-cluster选项部署群集证书。

覆盖现有的基于主机ID的证书信息并获取新证书

主机可能已颁发证书，但随着时间的推移，证书已损坏或证书文件已被删除。

非主控主机的管理员可以运行以下命令来确认证书的状况：

nbcertcmd -listCertDetails

• 如果证书已损坏，则该命令将失败并显示以下错误：

  无法从本地证书存储区读取证书。

• 如果未显示证书详细信息，则证书不可用。

使用以下过程覆盖现有的基于主机ID的证书信息并获取新证书。

获取新的基于主机ID的证书

• 主机管理员在非主控主机上运行以下命令：

  nbcertcmd -getCertificate -force

  • 根据主服务器上的安全设置，可能还需要指定令牌。

    请参阅创建授权令牌。

  • 使用-cluster选项部署群集证书。

   

  客户端报错7654

  In the case the client CRL is corrupt, the bpcd log on the client will show a status 7654:

  13:50:23.731 [12560] <16> dump_proxy_info: statusmsg: The revocation status of the peer host certificate cannot be verified using the Certificate Revocation List (CRL), because no CRL is present from the certificate issuer's domain., nbu status = 7654, severity = 2

   
  To check the state of the client or media server, execute nbcertcmd -hostselfcheck .  If the CRL is corrupt, it will exit with an error 9301:

  nbcertcmd -hostselfcheck
Unable to read CRL for server = nbmaster2, error = 9301.
EXIT STATUS 9301: Failed to decode certificate revocation list.

   

   

  Solution

  To resolve this issue, complete the following on the host (client or media server) reporting the error:
  
  Fetch an updated CRL from the master server:

  nbcertcmd -getCRL

   

  If successful it will return the following:

  nbcertcmd -getCRL
Successfully retrieved certificate revocation list for master server [nbmaster2]
   

  Once an updated CRL has been fetched, nbcertcmd -hostselfcheck will be successful:

  nbcertcmd -hostselfcheck
The certificate is not revoked.