ALM-12054 证书文件失效
告警解释
系统每天二十三点检查当前系统中的证书文件是否失效(即当前集群中的证书文件是否过期,或者尚未生效)。如果证书文件失效,产生该告警。
当重新导入一个正常证书,并且状态不为失效状态,在下一个整点触发告警检测机制后,该告警恢复。
MRS 3.2.0及之后版本告警检测周期为:每小时整点。
MRS 3.2.0之前版本告警检测周期为:每天二十三点。
告警属性
告警ID |
告警级别 |
是否自动清除 |
---|---|---|
12054 |
重要(MRS 3.3.1之前版本) 紧急(MRS 3.3.1及之后版本) |
是 |
告警参数
参数名称 |
参数含义 |
---|---|
来源 |
产生告警的集群或系统名称。 |
服务名 |
产生告警的服务名称。 |
角色名 |
产生告警的角色名称。 |
主机名 |
产生告警的主机名。 |
Trigger Condition |
系统当前指标取值满足自定义的告警设置条件。 |
对系统的影响
证书文件已经失效,对应模块功能受限,无法正常使用。
可能原因
系统未导入证书(CA证书、HA根证书、HA用户证书、Gaussdb根证书或者Gaussdb用户证书等)、导入证书失败、证书文件失效。
处理步骤
查看告警原因。
- 打开FusionInsight Manager页面,在实时告警列表中,单击此告警所在行的。
查看“附加信息”,获取告警附加信息。
- 告警附加信息中显示“CA Certificate”,以omm用户登录主OMS管理节点,执行2。
管理节点的主备状态及对应IP地址可在FusionInsight Manager主机管理界面查看。
- 告警附加信息中显示“HA root Certificate”,查看“定位信息”获取告警所在节点主机名,以omm用户登录该主机,执行3。
- 告警附加信息中显示“HA server Certificate”,查看“定位信息”获取告警所在节点主机名,以omm用户登录该主机,执行4。
- 告警附加信息中显示“Certificate has expired”,查看“定位信息”获取告警所在节点主机名,以omm用户登录该主机,依次执行2~4,检查对应证书是否过期。如果都未过期,则请排查是否导入过其他类型证书,并重新导入证书文件。
- 告警附加信息中显示“CA Certificate”,以omm用户登录主OMS管理节点,执行2。
检查系统中合法证书文件的有效期。
- 查看当前系统时间是否在CA证书的有效期内。
执行命令bash ${CONTROLLER_HOME}/security/cert/conf/querycertvalidity.sh可以查看CA根证书的生效时间与失效时间。
- 查看当前系统时间是否在HA根证书的有效期内。
执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/root-ca.crt可以查看HA根证书的生效时间与失效时间。
- 查看当前系统时间是否在HA用户证书的有效期内。
执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/server.crt可以查看HA用户证书的生效时间与失效时间。
Certificate: Data: Version: 3 (0x2) Serial Number: 97:d5:0e:84:af:ec:34:d8 Signature Algorithm: sha256WithRSAEncryption Issuer: C=CN, ST=xxx, L=yyy, O=zzz, OU=IT, CN=HADOOP.COM Validity Not Before: Dec 13 06:38:26 2016 GMT //生效时间 Not After : Dec 11 06:38:26 2026 GMT //失效时间
导入证书文件。
- 导入新的CA证书文件。
请参考更换MRS集群CA证书章节,申请或生成新的CA证书文件并导入。导入CA证书后该告警信息会自动清除,查看系统在定时检查时是否会再次产生此告警。
- 是,执行7。
- 否,处理完毕。
- 导入新的HA证书文件。
请参考更换MRS集群HA证书章节,申请或生成新的HA证书文件并导入。导入CA证书后该告警信息会自动清除,查看系统在定时检查时是否会再次产生此告警。
- 是,执行7。
- 否,处理完毕。
收集故障信息。
告警清除
此告警修复后,系统会自动清除此告警,无需手工清除。
参考信息
OBS证书过期请参考如何处理集群内部OBS证书过期。