ALM-12054 证书文件失效

告警解释

系统每天二十三点检查当前系统中的证书文件是否失效（即当前集群中的证书文件是否过期，或者尚未生效）。如果证书文件失效，产生该告警。

当重新导入一个正常证书，并且状态不为失效状态，在下一个整点触发告警检测机制后，该告警恢复。

MRS 3.2.0及之后版本告警检测周期为：每小时整点。

MRS 3.2.0之前版本告警检测周期为：每天二十三点。

告警属性

告警ID	告警级别	是否自动清除
12054	重要	是

告警参数

参数名称	参数含义
来源	产生告警的集群或系统名称。
服务名	产生告警的服务名称。
角色名	产生告警的角色名称。
主机名	产生告警的主机名。
Trigger Condition	系统当前指标取值满足自定义的告警设置条件。

对系统的影响

提示用户证书文件已经失效，部分功能受限，无法正常使用。

可能原因

系统未导入证书（CA证书、HA根证书、HA用户证书、Gaussdb根证书或者Gaussdb用户证书等）、导入证书失败、证书文件失效。

处理步骤

查看告警原因。

打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的。
查看“附加信息”，获取告警附加信息。
- 告警附加信息中显示“CA Certificate”，以omm用户登录主OMS管理节点，执行2。
- 告警附加信息中显示“HA root Certificate”，查看“定位信息”获取告警所在节点主机名，以omm用户登录该主机，执行3。
- 告警附加信息中显示“HA server Certificate”，查看“定位信息”获取告警所在节点主机名，以omm用户登录该主机，执行4。
- 告警附加信息中显示“Certificate has expired”，查看“定位信息”获取告警所在节点主机名，以omm用户登录该主机，依次执行2~4，检查对应证书是否过期。如果都未过期，则请排查是否导入过其他类型证书，并重新导入证书文件。

检查系统中合法证书文件的有效期。

查看当前系统时间是否在CA证书的有效期内。
执行命令bash ${CONTROLLER_HOME}/security/cert/conf/querycertvalidity.sh可以查看CA根证书的生效时间与失效时间。
- 是，执行7。
- 否，执行5。
查看当前系统时间是否在HA根证书的有效期内。
执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/root-ca.crt可以查看HA根证书的生效时间与失效时间。
- 是，执行7。
- 否，执行6。
查看当前系统时间是否在HA用户证书的有效期内。
执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/server.crt可以查看HA用户证书的生效时间与失效时间。
- 是，执行7。
- 否，执行6。

CA或者HA证书的“生效时间”和“失效时间” 示例：

Certificate: 
    Data: 
        Version: 3 (0x2) 
        Serial Number: 
            97:d5:0e:84:af:ec:34:d8 
        Signature Algorithm: sha256WithRSAEncryption 
        Issuer: C=CN, ST=xxx, L=yyy, O=zzz, OU=IT, CN=HADOOP.COM 
        Validity 
            Not Before: Dec 13 06:38:26 2016 GMT             //生效时间 
            Not After : Dec 11 06:38:26 2026 GMT             //失效时间

导入证书文件。

导入新的CA证书文件。
请参考更换CA证书章节，申请或生成新的CA证书文件并导入。导入CA证书后该告警信息会自动清除，查看系统在定时检查时是否会再次产生此告警。
- 是，执行7。
- 否，处理完毕。
导入新的HA证书文件。
请参考更换HA证书章节，申请或生成新的HA证书文件并导入。导入CA证书后该告警信息会自动清除，查看系统在定时检查时是否会再次产生此告警。
- 是，执行7。
- 否，处理完毕。