ALM-12055 证书文件即将过期

告警解释

系统每小时整点检查一次当前系统中的证书文件，如果当前时间距离证书过期时间小于30天，则证书文件即将过期，产生该告警。

当重新导入一个正常证书，并且状态不为即将过期，在下一个整点触发告警检测机制后，该告警恢复。

告警属性

告警参数

对系统的影响

证书文件即将过期，如果证书文件过期失效，对应模块功能受限，无法正常使用。

可能原因

系统证书文件（CA证书、HA根证书、HA用户证书、Gaussdb根证书或者Gaussdb用户证书等）剩余有效期小于30天。

处理步骤

查看告警原因。

1. 打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的。

   查看“附加信息”，获取告警附加信息。

   • 告警附加信息中显示“CA Certificate”，以omm用户登录主OMS管理节点，执行2。
   • 告警附加信息中显示“HA root Certificate”，查看“定位信息”获取告警所在节点主机名，以omm用户登录该主机，执行3。
   • 告警附加信息中显示“HA server Certificate”， 查看“定位信息”获取告警所在节点主机名，以omm用户登录该主机，执行4。

检查系统中合法证书文件的有效期。

2. 查看当前CA证书剩余有效期是否小于证书的告警阈值。

   执行命令bash ${CONTROLLER_HOME}/security/cert/conf/querycertvalidity.sh可以查看CA根证书的生效时间与失效时间。

   • 是，执行5。
   • 否，执行7。

3. 查看当前HA根证书剩余有效期是否小于证书的告警阈值。

   执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/root-ca.crt可以查看HA根证书的生效时间与失效时间。

   • 是，执行6。
   • 否，执行7。

4. 查看当前HA用户证书剩余有效期是否小于证书的告警阈值。

   执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/server.crt可以查看HA用户证书的生效时间与失效时间。

   • 是，执行6。
   • 否，执行7。

Certificate: 
    Data: 
        Version: 3 (0x2) 
        Serial Number: 
            97:d5:0e:84:af:ec:34:d8 
        Signature Algorithm: sha256WithRSAEncryption 
        Issuer: C=CN, ST=xxx, L=yyy, O=zzz, OU=IT, CN=HADOOP.COM 
        Validity 
            Not Before: Dec 13 06:38:26 2016 GMT             //生效时间 
            Not After : Dec 11 06:38:26 2026 GMT             //失效时间

导入证书文件。

5. 导入新的CA证书文件。

   申请或生成新的CA证书文件并导入。手动清除该告警信息，查看系统在定时检查时是否会再次产生此告警。

   • 是，执行7。
   • 否，处理完毕。

6. 导入新的HA证书文件。

   申请或生成新的HA证书文件并导入。手动清除该告警信息，查看系统在定时检查时是否会再次产生此告警。

   • 是，执行7。
   • 否，处理完毕。

收集故障信息。

7. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”
8. 在“服务”中勾选“Controller”、“OmmServer”、“OmmCore”和“Tomcat”，单击“确定”。
9. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。
10. 请联系运维人员，并发送已收集的故障日志信息。

告警清除

此告警修复后，系统会自动清除此告警，无需手工清除。

参考信息

不涉及。