ALM-12055 证书文件即将过期（2.x及以前版本）

告警解释

系统每天二十三点检查一次当前系统中的证书文件，如果当前时间距离过期时间不足告警阈值天数，则证书文件即将过期，产生该告警。

当重新导入一个正常证书，并且状态不为即将过期，该告警恢复。

告警属性

告警参数

对系统的影响

提示用户证书文件即将过期，如果证书文件过期，则会导致部分功能受限，无法正常使用。

可能原因

系统证书文件（CA证书、HA根证书或者HA用户证书）剩余有效期小于证书的告警阈值。

处理步骤

查看告警原因

1. 登录MRS集群详情页面，选择“告警管理”。
2. 在实时告警列表中，单击此告警所在行。

   在“告警详情”区域查看“附加信息”，获取告警附加信息。

   • 告警附加信息中显示“CA Certificate”，使用PuTTY工具以omm用户登录主OMS管理节点，执行3。
   • 告警附加信息中显示“HA root Certificate”，查看“定位信息”获取告警所在节点主机名，使用PuTTY工具以omm用户登录该主机，执行4。
   • 告警附加信息中显示“HA server Certificate”， 查看“定位信息”获取告警所在节点主机名，使用PuTTY工具以omm用户登录该主机，执行5

检查系统中合法证书文件的有效期。

3. 查看当前CA证书剩余有效期是否小于证书的告警阈值。

   执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/cert/root/ca.crt可以查看CA根证书的生效时间与失效时间。

   • 是，执行6。
   • 否，执行8。

4. 查看当前HA根证书剩余有效期是否小于证书的告警阈值。

   执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/root-ca.crt可以查看HA根证书的生效时间与失效时间。

   • 是，执行7。
   • 否，执行8。

5. 查看当前HA用户证书剩余有效期是否小于证书的告警阈值。

   执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/server.crt可以查看HA用户证书的生效时间与失效时间。

   • 是，执行7。
   • 否，执行8

     CA或者HA证书的“生效时间”和“失效时间” 示例：

     Certificate: 
         Data: 
             Version: 3 (0x2) 
             Serial Number: 
                 97:d5:0e:84:af:ec:34:d8 
             Signature Algorithm: sha256WithRSAEncryption 
             Issuer: C=CountryName, ST=State, L=Locality, O=Organization, OU=IT, CN=HADOOP.COM 
             Validity 
                 Not Before: Dec 13 06:38:26 2016 GMT             //生效时间 
                 Not After : Dec 11 06:38:26 2026 GMT             //失效时间

导入证书文件。

6. 导入新的CA证书文件。

   请联系运维人员申请或生成新的CA证书文件并导入。手动清除该告警信息，查看系统在定时检查时是否会再次产生此告警。

   • 是，执行8。
   • 否，处理完毕。

7. 导入新的HA证书文件。

   请参考更换HA证书章节，申请或生成新的HA证书文件并导入。手动清除该告警信息，查看系统在定时检查时是否会再次产生此告警。

   • 是，执行8。
   • 否，处理完毕。

8. 收集故障信息。
   1. 在MRS Manager界面，单击“系统设置 > 日志导出”。
   2. 请联系运维人员，并发送已收集的故障日志信息。

参考信息

OBS证书过期请参考如何处理集群内部OBS证书过期。