导入受信任证书时的错误

导入证书是在application与服务之间实现安全通信的关键步骤。然而,此过程有时会遇到挑战,在为启用 SSL导入受信任证书时可能会出现各种错误。本文档将列出在 ITOM 产品中导入证书时常见的错误以及相应的解决步骤。

导入证书时的已知错误代码:

以下是导入证书出现问题时会生成的已知错误代码列表。

  • 错误代码:80001 - CERTIFICATE_EXPIRED
  • 错误代码:80013 - CERT_KEY_MISMATCH
  • 错误代码:80022 - PFX_PASSWORD_WRONG
  • 错误代码:80030 - ENCRYPTED_KEY_ERROR
  • 错误代码:80034 - KEY_PASSWORD_WRONG
  • 错误代码:80007 - PROXY_CONFIGURATION_NEEDED
  • 错误代码:80020 - CERTIFICATE_DOWNLOAD_DOMAIN_NOT_RESOLVED
  • 错误代码:80001
    • 原因:CERTIFICATE_EXPIRED
    • 导入的证书已过期或其有效期尚未开始。此类情况下,UI 中会显示详细的错误信息,包括证书有效期的起始或结束日期。最终用户应联系其证书颁发机构(CA)获取新证书,然后再将其导入 UI。
  • 错误代码:80013
    • 原因:CERT_KEY_MISMATCH
    • 导入的私钥文件与 UI 中的公钥证书文件不匹配。一般来说,公钥和私钥应属于同一密钥对。如果公钥的签名与私钥不匹配,就会出现此错误。最终用户应联系其 CA,核实与相应公钥证书文件对应的私钥文件的完整性。
  • 错误代码:80022
    • 原因:PFX_PASSWORD_WRONG
    • 为导入的 PFX/JKS/keystore 证书文件输入的密码不正确。该密码用于从证书文件中获取别名条目。如果密码错误,将无法访问别名证书。请确保为导入的文件提供正确的密码。
  • 错误代码:80030
    • 原因:ENCRYPTED_KEY_ERROR
    • 导入的私钥文件已被加密,而 OpManager 不支持导入加密的私钥。请联系您的 CA,以获取未加密版本的私钥文件。
  • 错误代码:80034
    • 原因:KEY_PASSWORD_WRONG
    • 提供的密钥密码不正确。通常,PFX/JKS/keystore 文件和其中的密钥对使用相同的密码。但也可能出现 keystore 文件与密钥对使用不同密码的情况。此时,UI 会弹出提示,要求输入密钥对的密码。如果输入了错误的密钥密码,就会出现此错误。请确保为密钥文件使用正确的密码,然后再次尝试导入。
  • 错误代码:80007
    • 原因:PROXY_CONFIGURATION_NEEDED
    • 当导入的证书包含 “Authority Info Access” 属性时(通常链接到中级和根证书的 URL 位置),如果由于网络限制(如代理配置或Server缺乏互联网连接)导致这些 URL 无法访问,就会出现此错误。在这种情况下,请联系您的证书颁发机构(CA),并通过 UI 手动导入根证书和中级证书。

  • 错误代码:80020

    • 原因:CERTIFICATE_DOWNLOAD_DOMAIN_NOT_RESOLVED
    • 当导入的证书包含 “Authority Info Access” 属性(通常链接到中级和根证书的 URL 位置),且这些 URL 因 503 错误而无法访问时,就会生成此错误。在这种情况下,请联系您的 CA,并通过 UI 手动导入根证书和中级证书。

    在 OpManager 中导入受信任证书时的错误:由于下载域名无法解析导致的证书错误

连接异常 / Socket 异常:

以下列出了 OpManager 中常见的连接错误及其排查步骤,

  • Connection refused: connect: OpManager Server无法与提供的 URL 建立连接。
    • 原因 1:该 URL 处于宕机状态。
    • 原因 2:从 OpManager Server无法访问该 URL。
  • Connection TimeOut: OpManager Server无法访问提供的 URL。
    • 原因 1:Server宕机,或者客户端无法连接到该Server。
    • 原因 2:客户端或Server端的防火墙可能阻止了连接尝试。
  • No route to host: connect: OpManager Server无法找到与给定 URL 通信的路径。
    • 原因 1:由于路由问题,连接未建立。
    • 原因 2:网络连接已发生变更。
  • UnknownHostException: OpManager Server无法识别提供的 URL。
    • 原因 1:提供的 URL 无法访问或不存在。
    • 原因 2:提供的 URL 不正确/拼写错误。
    • 原因 3:地址解析存在问题。
  • SSL Exception:不支持或无法识别的 SSL 消息。OpManager Server无法读取来自所提供 URL 的 SSL 数据。
    • 原因 1:该 URL 不支持 HTTPS 协议。请确认该 URL 支持所需协议。
    • 原因 2:OpManager 与目标Server URL 所支持的 TLS 版本或加密套件可能不匹配。

排查步骤:

  • 验证提供的 URL 是否在线,并且可从 OpManager Server访问。
  • 检查网络稳定性,确保网络连接没有中断或其他问题。
  • 检查是否存在阻止访问该 URL 请求的防火墙规则。

感谢您的反馈!

此内容对您有帮助吗?

很抱歉给您带来不便。请帮助我们改进此页面。

我们该如何改进此页面?
您是否需要有关此主题的协助?
点击“提交”,即表示您同意根据隐私政策处理个人数据。