大数据-之LibrA数据库系统告警处理（ALM-12054 证书文件失效）

告警解释

系统在每天二十三点检查当前系统中的证书文件是否失效（即当前集群中的证书文件是否过期，或者尚未生效）。如果证书文件失效，产生该告警。

当重新导入一个正常证书，并且状态不为失效状态，该告警恢复。

告警属性

告警参数

对系统的影响

提示用户证书文件已经失效，部分功能受限，无法正常使用。

可能原因

系统未导入证书（CA证书、HA根证书或者HA用户证书）、导入证书失败、证书文件失效。

处理步骤

查看告警原因

1. 打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行。

   在“告警详情”区域查看“附加信息”，获取告警附加信息。

   • 告警附加信息中显示“CA Certificate”，使用PuTTY工具以omm用户登录主OMS管理节点，执行步骤 2。
   • 告警附加信息中显示“HA root Certificate”，查看“定位信息”获取告警所在节点主机名，使用PuTTY工具以omm用户登录该主机，执行步骤 3。
   • 告警附加信息中显示“HA server Certificate”， 查看“定位信息”获取告警所在节点主机名，使用PuTTY工具以omm用户登录该主机，执行步骤 4

检查系统中合法证书文件的有效期。

1. 查看当前系统时间是否在CA证书的有效期内。

   执行命令bash ${CONTROLLER_HOME}/security/cert/conf/querycertvalidity.sh可以查看CA根证书的生效时间与失效时间。

   • 是，执行步骤 7。
   • 否，执行步骤 5。

2. 查看当前系统时间是否在HA根证书的有效期内。

   执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/root-ca.crt可以查看HA根证书的生效时间与失效时间。

   • 是，执行步骤 7。
   • 否，执行步骤 6。

3. 查看当前系统时间是否在HA用户证书的有效期内。

   执行命令openssl x509 -noout -text -in ${CONTROLLER_HOME}/security/certHA/server.crt可以查看HA用户证书的生效时间与失效时间。

   • 是，执行步骤 7。
   • 否，执行步骤 6。

     CA或者HA证书的“生效时间”和“失效时间” 示例：

导入证书文件。

1. 导入新的CA证书文件。

   申请或生成新的CA证书文件并导入，具体操作请参考《管理员指南》的“更换CA证书”章节。导入CA证书后该告警信息会自动清除，查看系统在定时检查时是否会再次产生此告警。

   • 是，执行步骤 7。
   • 否，处理完毕。

2. 导入新的HA证书文件。

   申请或生成新的HA证书文件并导入，具体操作请参考《管理员指南》的“更换HA证书”章节。导入CA证书后该告警信息会自动清除，查看系统在定时检查时是否会再次产生此告警。

   • 是，执行步骤 7。
   • 否，处理完毕。

收集故障信息。

1. 在FusionInsight Manager界面，单击“系统设置 > 日志下载”
2. 在“服务”下拉框中勾选“Controller”、“OmmServer”、“OmmCore”和“Tomcat”，单击“确定”。
3. 设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。