Recherche dans <book_title>…

Guide de référence des codes d'état NetBackup™

Last Published: 2022-01-21

Product(s): NetBackup (9.1)

Code d'état NetBackup : 8779

Message: Échec du contrôle d'intégrité ECA.

Explication: La commande nbcertcmd -ecaHealthCheck valide les configurations des certificats externes que vous avez fournis et affiche un rapport de toutes les validations réussies et défaillantes.

Action recommandée: Chaque validation ayant échoué est associée à un ID de validation. Pour chaque défaillance, il peut y avoir une raison particulière, et vous pouvez effectuer certaines étapes de dépannage. Consultez la liste suivante de validations pour la commande ecaHealthCheck.

ID de validation : USER_INPUT_CERT_PATH_VALIDATION

Causes :
- Le chemin d'accès au certificat est vide.
- Le fichier dont le chemin est spécifié filename n'est pas accessible.
Actions recommandées :
- Assurez-vous que le chemin d'accès au certificat n'est pas vide.
- Assurez-vous que le fichier possède les autorisations Read pour l'utilisateur correspondant.

ID de validation : USER_INPUT_CERTIFICATES_VALIDATION

Causes :
- Erreur de lecture du fichier de certificat.
Actions recommandées :
- Vérifiez que le fichier de certificat contient un certificat.
- Assurez-vous que le format du fichier de certificat est pris en charge par NetBackup. Les formats de certificat pris en charge sont PEM, P7BPEM, P7BDER.

ID de validation : USER_INPUT_PRIVATE_KEY_PATH_VALIDATION

Causes :
- Le chemin d'accès à la clé privée est vide.
- Le fichier dont le chemin est spécifié filename n'est pas accessible.
Actions recommandées :
- Assurez-vous que le chemin d'accès à la clé privée n'est pas vide.
- Assurez-vous que le fichier possède les autorisations Read pour l'utilisateur correspondant.

ID de validation : USER_INPUT_PRIVATE_KEY_READ_VALIDATION

Causes :
- Erreur de lecture de la clé privée : échec de la lecture du fichier.
- Erreur de lecture de la clé privée : la clé privée du certificat externe est chiffrée, mais la valeur de passphrase n'est pas fournie.
- Erreur de lecture de la clé privée : la clé privée du certificat externe est chiffrée, mais la valeur de passphrase est vide.
Actions recommandées :
- Assurez-vous que le format de la clé privée ou le format des algorithmes de clé est pris en charge par NetBackup. Les formats de clé pris en charge sont PEM et DER.
- Si la clé privée est chiffrée, assurez-vous que la valeur de ECA_KEY_PASSPHRASEFILE ou de -passphraseFile correspondant à l'emplacement du chemin d'accès au fichier passphrase est donnée.
- Si la clé privée est chiffrée et que le fichier passphrase est donné, assurez-vous que celui-ci n'est pas vide et que la valeur de passphrase qu'il contient est correcte.

ID de validation : USER_INPUT_TRUST_STORE_PATH_VALIDATION

Causes :
- Le chemin d'accès à la banque d'approbation est vide.
- Le fichier dont le chemin est spécifié filename n'est pas accessible.
Actions recommandées :
- Assurez-vous que le chemin d'accès à la banque d'approbation n'est pas vide.
- Assurez-vous que le fichier possède les autorisations Read pour l'utilisateur correspondant.

ID de validation : USER_INPUT_TRUST_STORE_VALIDATION

Causes :
- Erreur de lecture du chemin d'accès de la banque d'approbation.
Actions recommandées :
- Assurez-vous que le fichier de certificat de la banque d'approbation contient un certificat approuvé.
- Assurez-vous que le format du fichier de certificat est pris en charge par NetBackup. Les formats de certificat pris en charge sont PEM, P7BPEM, P7BDER.

ID de validation : CERTIFICATES_KEYS_ACCESS_VALIDATION

Causes :
- Windows : les services NetBackup ne sont pas en mesure de lire le certificat, le magasin d'approbation ou la clé privée.
- UNIX : l'utilisateur du service NetBackup n'est pas en mesure de lire le certificat, le magasin d'approbation ou la clé privée.
Actions recommandées :
- Windows :
  - Assurez-vous que le service local a accès au certificat, au magasin d'approbation ou à la clé privée.
  - Assurez-vous que les services NetBackup ont accès au certificat, au magasin d'approbation ou à la clé privée.
  - Exécutez la commande icacls pour vous assurer que les services NetBackup ou le service local ont des autorisations en lecture. Exemple :
    icacls <file> ... <file> NT SERVICE\NetBackup Audit Manager:(R) ...
    Remarque :
    Cette remarque s'applique uniquement aux systèmes Windows.
    Ce contrôle ne s'applique pas aux membres d'un groupe si le service local ou le service NetBackup sont membres d'un groupe qui a reçu des autorisations refuser ou autoriser. Le contrôle de validation ne détecte pas leurs autorisations.
- UNIX :
  - Assurez-vous que l'utilisateur du service NetBackup a accès aux certificats, à la clé privée et au fichier de phrase de passe.

ID de validation : LEAF_CERTIFICATE_ENHANCED_KEY_USAGE_VALIDATION

Causes :
- Les utilisations de clés étendues requises ne sont pas disponibles dans le certificat donné.
Actions recommandées :
- Exécutez la commande suivante :
  - Pour Windows :
    chemin_installation\bin\goodies\vxsslcmd.exe x509 -text -in end_entity_certificate
  - Sous UNIX :
    chemin_installation/bin/goodies/vxsslcmd x509 -text -in end_entity_certificate
- Si le certificat est doté d'une extension d'utilisation de clé X509v3, il doit inclure les objectifs d'utilisation de clé suivants :
  - Pour le certificat de serveur web : au moins une signature numérique ou un chiffrement de clé doit être présent.
  - Pour un certificat d'hôte NetBackup : l'objectif de signature numérique doit être présent. Le chiffrement de clé peut être présent ou non.
  - Pour un certificat utilisé à la fois pour le serveur web et l'hôte NetBackup : l'objectif de signature numérique doit être présent. Le chiffrement de clé peut être présent ou non.
  - Le certificat peut avoir d'autres objectifs d'utilisation clés répertoriés en plus des objectifs spécifiés ici. Ces objectifs supplémentaires sont ignorés.
- L'extension d'utilisation de clé X509v3 peut être critique ou non.
- Un certificat sans extension d'utilisation de clé X509v3 est également utilisable avec NetBackup.
- Si le certificat est doté d'une extension d'utilisation de clé étendue X509v3, il doit inclure les objectifs d'utilisation de clé suivants :
  - Pour le certificat de serveur web : authentification du serveur web TLS.
  - Pour un certificat d'hôte NetBackup : authentification du serveur web TLS et authentification du client web TLS
  - Pour un certificat utilisé à la fois pour le serveur web et l'hôte NetBackup : authentification du serveur web TLS et authentification du client web TLS
  - Le certificat peut avoir d'autres objectifs d'utilisation clés répertoriés en plus des objectifs spécifiés ici. Ces objectifs supplémentaires sont ignorés.
- L'extension d'utilisation de clé étendue X509v3 peut être critique ou non.
- Un certificat sans extension d'utilisation de clé étendue X509v3 est également utilisable avec NetBackup.
- Si le certificat ne répond pas aux exigences répertoriées dans la section Actions recommandées, contactez votre fournisseur de certificat pour obtenir un nouveau certificat.

ID de validation : CERTIFICATE_SUBJECT_DN_LENGTH_VALIDATION

Causes :
- Le nom d'objet contient plus de 255 caractères
Actions recommandées :
- Un nom d'objet dont la longueur est supérieure à 255 caractères n'est pas pris en charge. Contactez votre fournisseur de certificat externe.

ID de validation : CERTIFICATE_SAN_HOSTNAME_VALIDATION

Causes :
- Le champ Subject Alternative Name dans le certificat n'est pas vide et le hostname n'est pas présent dans le champ.
Actions recommandées :
- Si le champ Subject Alternative Name du certificat n'est pas vide, assurez-vous qu'il contient un nom d'hôte.
- Pour afficher le champ Subject Alternative Name, exécutez la commande suivante :
  - vxsslcmd x509 -text -in end_entity_certificate_file
    X509v3 Subject Alternative Name : DNS : host FQDN DNS :host name

ID de validation : PRIVATE_KEY_VALIDATION

Causes :
- La clé privée ne correspond pas au certificat.
Actions recommandées :
- Assurez-vous que le certificat et sa clé privée correspondante sont corrects.

ID de validation : CERTIFICATE_SUBJECT_DN_ASCII_VALIDATION

Causes :
- Un caractère non ASCII a été trouvé dans le Subject: subject name du certificat.
Actions recommandées :
- Les objets de certificat contenant des caractères autres que des caractères ASCII 7 bits ne sont pas pris en charge. Contactez votre fournisseur de certificat externe.

ID de validation : CERTIFICATE_CHAIN_VALIDATION_AGAINST_TRUST_STORE

Causes :
- La vérification de la chaîne de certificat peut échouer pour de nombreuses raisons. La seule phrase commune affichée est Échec de la vérification de la chaîne de certificat. Le reste de l'erreur est affiché avec le openssl renvoyé.
Actions recommandées :
- Assurez-vous que le certificat portant le nom d'objet donné est présent dans la banque d'approbation fournie.
- Consultez l'erreur openssl et apportez des modifications en fonction du texte de l'erreur.

ID de validation : CERTIFICATE_CN_EMPTINESS_VALIDATION

Causes :
- Le champ Nom commun du certificat est vide.
Actions recommandées :
- Assurez-vous que le nom commun du certificat n'est pas vide. Contactez votre fournisseur de certificat externe.
- Pour vérifier, exécutez la commande suivante :
  - vxsslcmd x509 -subject -in certificate_file
  - Vérifiez que la valeur du champ Nom commun dans l'objet n'est pas vide.

ID de validation : CERTIFICATES_ORDER

Causes :
- La signature de l'objet subject name du certificat ne peut pas être vérifiée avec la clé publique de l'objet subject name du certificat actuel.
Actions recommandées :
- Si vous utilisez un certificat au format PEM, assurez-vous que dans le fichier du certificat, le certificat feuille est présent suivi de son émetteur, lui-même suivi de l'émetteur de l'émetteur de la feuille et ainsi de suite.

ID de validation : CERTIFICATE_CHAIN_EXPIRY_VALIDATION

Causes :
- Le certificat avec l'objet subject name a expiré.
Actions recommandées :
- Renouvelez le certificat ou utilisez un certificat en cours de validité.
- Pour vous en assurer, exécutez la commande suivante :
  - vxsslcmd x509 -dates -in certificate_file
    Sortie :
    notBefore=date before which certificate is not valid notAfter=date after which certificate is not valid

ID de validation : CERTIFICATE_CHAIN_CURRENT_ACTIVE_VALIDATION

Causes :
- Le certificat avec l'objet subject name n'est pas encore actif.
Actions recommandées :
- Utilisez un certificat en cours de validité.
- Pour vous en assurer, exécutez la commande suivante :
  - vxsslcmd x509 -dates -in certificate_file
    Sortie :
    notBefore=date before which certificate is not valid notAfter=date after which certificate is not valid

ID de validation : WINDOWS_CERTIFICATE_STORE_PRIVATE_KEY_VALIDATION

Gravité : Échec ou Avertissement
Causes :
- Un avertissement est donné quand l'option MANAGE_WIN_CERT_STORE_PRIVATE_KEY est définie sur Désactivé dans la configuration de NetBackup et que les services NetBackup sont autorisés à accéder à la clé privée.
- La vérification échoue quand l'option MANAGE_WIN_CERT_STORE_PRIVATE_KEY est définie sur Désactivé dans la configuration de NetBackup et que les services NetBackup ne sont pas autorisés à accéder à la clé privée.
- La vérification échoue lorsque le fournisseur de services de chiffrement ou de stockage de clés ne prend pas en charge les descripteurs de sécurité.
Actions recommandées :
- Définissez l'option MANAGE_WIN_CERT_STORE_PRIVATE_KEY sur Automatique de sorte que les services privilégiés NetBackup puissent mettre à jour les autorisations de lecture relatives à la clé privée pour les services non privilégiés NetBackup.
- Si la validation échoue, accordez aux services NetBackup les autorisations d'accès à la clé privée. Vous pouvez exécuter la commande : nbcertcmd -setwincertprivkeypermissions -force
- Si la validation renvoie un avertissement, assurez-vous que les services NetBackup sont autorisés à accéder à la clé privée en lecture. Les autorisations sont réinitialisées pendant certaines opérations, comme le renouvellement de certificat ou la reprise après incident.
- Si la vérification échoue, car le fournisseur de services de chiffrement ou de stockage de clés ne prend pas en charge les descripteurs de sécurité, utilisez un fournisseur qui prend en charge les descripteurs de sécurité.
  Pour plus d'informations, consultez la section Limitations de la prise en charge du magasin de certificats Windows lorsque les services NetBackup sont en cours d'exécution dans le contexte d'un compte de service local dans le Guide de sécurité et de chiffrement NetBackup.

ID de validation : USER_INPUT_WIN_CERT_PATH_VALIDATION

Causes :
- Le certificat pour le nom d'objet indiqué est introuvable.
Actions recommandées :
- Assurez-vous que le chemin d'accès au certificat du magasin de certificats Windows est fourni correctement et que le certificat existe dans le magasin de certificats donné. Consultez la rubrique relative à la prise en charge de l'autorité de certification externe dans NetBackup dans le Guide de sécurité et de chiffrement de NetBackup.

ID de validation : CERTIFICATE_SAN_CN_HOSTNAME_VALIDATION

Causes :
- Le champ Subject Alternative Name du certificat est vide et le nom d'hôte hostname n'est pas présent dans le champ Nom commun.
Actions recommandées :
- Si le champ Subject Alternative Name du certificat n'est pas vide, assurez-vous que le champ Nom commun contient un nom d'hôte.
- Pour afficher le champ Subject Alternative Name, exécutez la commande suivante :
  - vxsslcmd x509 -text -in end_entity_certificate_file
  - X509v3 Subject Alternative Name : DNS : host FQDN DNS :host name
- Pour afficher le champ Nom commun, exécutez la commande suivante :
  - vxsslcmd x509 -text -in end_entity_certificate_file
  - X509v3 Subject Alternative Name : DNS : host FQDN DNS :host name

ID de validation : USER_INPUT_WIN_CERT_VALIDATION

Causes :
- Impossible d'ouvrir le magasin de certificats fourni.
- L'émetteur du certificat est introuvable.
- Le certificat ayant le nom d'objet donné est introuvable.
- Le nom d'hôte de l'ordinateur ne peut pas être récupéré. [Utilisé avec le mot-clé spécial $hostname]
- Le certificat n'est pas encore valide.
- Le certificat a expiré.
- La clé privée du certificat est introuvable.
- Les buts requis (authentification du serveur et d'authentification du client) ne sont pas présents dans le certificat.
Opérations recommandées : (les actions suivantes doivent être effectuées dans le magasin de certificats Windows)
- Assurez-vous que le format du chemin d'accès au certificat est correct : store-name\issuer-name\subject
- Vérifiez le champ Valid from du certificat. La valeur (date) doit être comprise dans la plage de dates actuelle.
- Vérifiez le champ Valid to du certificat. La valeur (date) doit être comprise dans la plage de dates actuelle.
- Assurez-vous que la clé privée présente correspond au certificat d'entité de fin.
- Assurez-vous que le champ Enhanced Key Usage contient Server Authentication (1.3.6.1.5.5.7.3.1) et Client Authentication (1.3.6.1.5.5.7.3.2). Tous les buts sont également acceptés.

ID de validation : USER_INPUT_CRL_PATH_VALIDATION

Causes :
- Le chemin d'accès à la liste de révocation des certificats n'est pas accessible.
- Le chemin d'accès à la liste de révocation des certificats est vide.
- Le chemin d'accès à la liste de révocation des certificats contient uniquement des fichiers de 0 Ko.
Actions recommandées :
- Assurez-vous que le chemin d'accès à la liste de révocation des certificats est correct et n'est pas vide.

ID de validation : USER_INPUT_CRL_PATH_CONTAINS_CRLS

Causes :
- Le chemin d'accès à la liste de révocation des certificats ne contient aucun fichier de listes CRL.
Actions recommandées :
- Assurez-vous que le chemin d'accès à la liste de révocation des certificats est correct et n'est pas vide.

ID de validation : CRL_FILES_ACCESS_VALIDATION

Causes :
- Windows : les services NetBackup ne sont pas en mesure de lire les fichiers de listes CRL.
- UNIX : l'utilisateur de service NetBackup ne peut pas lire les fichiers de listes CRL.
Actions recommandées :
- Windows :
  - Assurez-vous que l'accès aux fichiers de listes CRL n'est pas refusé au service local.
  - Assurez-vous que les services NetBackup ont accès aux fichiers de listes CRL.
  - Exécutez la commande icacls pour vous assurer que les services NetBackup ou le service local ont des autorisations en lecture. Exemple :
    icacls <file> ... <file> NT SERVICE\NetBackup Audit Manager:(R) ...
    Remarque :
    Cette remarque s'applique uniquement aux systèmes Windows.
    Ce contrôle ne s'applique pas aux membres d'un groupe si le service local ou le service NetBackup sont membres d'un groupe qui a reçu des autorisations refuser ou autoriser. Le contrôle de validation ne détecte pas leurs autorisations.
- UNIX : assurez-vous que l'utilisateur du service a accès aux fichiers de listes CRL.

ID de validation : CRL_CDP_URL_VALIDATION

Causes :
- Le point de distribution (CDP) des listes CRL du certificat ne contient pas d'URL valide. NetBackup prend en charge uniquement les URL HTTP ou HTTPS.
Actions recommandées :
- Assurez-vous que le point de distribution (CDP) des listes CRL contient des URL valides.

ID de validation : ALL_CRLS_READABLE

Causes :
- Les fichiers des listes CRL disponibles ne sont pas lisibles ou les listes CRL ne sont pas valides.
Actions recommandées :
- Assurez-vous que les listes CRL disponibles dans le chemin d'accès aux listes CRL sont valides.

Cliquez ici pour afficher les notes techniques et d'autres informations disponibles sur le site web Veritas Technical Support au sujet de ce code d'état.