Red Hat Training
A Red Hat training course is available for Red Hat Satellite
7.5. 接続エラー
SSL_CONNECT エラーで示される一般的な接続の問題は、誤って時間設定されているマシンに Satellite がインストールされてしまうのが要因です。Satellite のインストール過程で SSL 証明書が不正確な時間で作成され、その後 Satellite の時間が修正されると、証明書の開始日と時刻が未来に設定されることがあり、これにより証明書が無効になってしまいます。
これを解決するには、次のコマンドでクライアントと Satellite の日付と時刻を確認します。
date
この結果はすべてのマシンがほぼ同一で証明書の "notBefore (これ以前は無効)" と "notAfter (これ以降は無効)" の有効期間枠内になるはずです。次のコマンドでクライアント証明書の日付と時刻を確認します。
openssl x509 -dates -noout -in /usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT
次のコマンドで Satellite Server の証明書の日付と時刻を確認します。
openssl x509 -dates -noout -in /etc/httpd/conf/ssl.crt/server.crt
デフォルトでは、サーバーの証明書は 1 年間有効でクライアントの証明書は 10 年間有効になっています。証明書の誤りを見つけたら、できれば有効開始時間を待つか、新しい証明書を作成しすべてのシステム時間は GMT に設定した方がよいでしょう。
全般的な接続エラーを調べて解決するには次のような手段が使用できます。
/etc/rhn/rhn.confにある正しい接続文字列を使ってコマンドラインで RHN Satellite のデータベースに接続試行します。sqlplus username/password@sid
- RHN Satellite が NTP (Network Time Protocol) を使用し適切なタイムゾーンに設定されていることを確認してください。これはすべてのクライアントシステムおよび Stand-Alone Database を使用する RHN Satellite の単独データベースマシンも対象となります。
- 正しいパッケージの確認:
7
rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpmRHN Satellite に正しいパッケージがインストールされ、該当のrhn-org-trusted-ssl-cert-*.noarch.rpmまたは生の CA SSL パブリック (クライアント) 証明書がすべてのクライアントシステムにインストールされていることを確認します。 - クライアントシステムが適切な証明書を使用するよう設定されていることを確認します。
- 1 つまたは複数の RHN Proxy Server も使用している場合は、各プロキシの SSL 証明書が正しく用意されていることを確認します。プロキシには、それ独自のサーバー SSL キーの組合せと CA SSL パブリック (クライアント) 証明書の両方がインストールされていなければなりません。特定事項の説明については 『RHN クライアント設定ガイド』 の SSL 証明書の章を参照してください。
- 「追加の要件」 に示されるように、クライアントシステムが必要なポートをブロックしてしまうファイアウォールを使用していないか確認します。
