无法使用 CA 签署的客户端证书连接到 SCMB 服务器

症状

创建 CA 签署的客户端证书后,您仍无法建立 SCMB 服务器连接。

解决方案 1
原因

客户端证书不是由设备信任的证书颁发机构 (CA) 签名的。

操作
  1. 使用以下命令验证签署客户端证书的 CA:openssl verify -verbose -CAfile ca.pem cert.pem
  2. 通过转到设置 > 安全性并检查可信任的 CA 列表,确保列出的 CA 根证书和中间证书受设备信任。
  3. 如果用于签署客户端证书的 CA 不存在,请将该 CA 添加到 HPE OneView。
解决方案 2
原因

用于对 SCMB 服务器证书进行签名的根 CA 证书或中间 CA 证书不包含在客户端使用的 CA 证书文件中。

操作
确保客户端使用的 CA 证书文件包含对 SCMB 服务器证书进行签名的根证书和任何中间 CA 证书。
解决方案 3
原因

用于对客户端证书进行签名的中间 CA 不包含在客户端使用的 CA 证书文件中。

操作
确保客户端使用的 CA 证书文件包含用于对客户端证书进行签名的中间 CA。
解决方案 4
原因

客户端证书使用除 rabbitmq_readonly 外的公用名。

操作
  1. 使用以下命令显示证书属性:openssl x509 -noout -text -in cert.pem
  2. 如果客户端证书的公用名不是 rabbitmq_readonly,请创建新的客户端证书。必须将客户端证书的公用名设置为 rabbitmq_readonly,因为 SCMB 服务器已配置为接受来自此用户的连接。
解决方案 5
原因

CA 链包含超过 9 个中间证书,不包括根 CA(根 CA > 中间证书 1 > 中间证书 2 > ... > 中间证书 8 > 中间证书 9)。

操作
HPE OneView 最多只能支持 9 个 CA 链级别。删除 CA 链的最低级别以使其包含不到 9 个级别。