Red Hat Training

A Red Hat training course is available for Red Hat Satellite

7.5. Erros de Conexão

Um problema de conexão comum, indicado por erros SSL_CONNECT, é o resultado da instalação de um Satellite numa máquina cuja hora foi configurada inapropriadamente. Durante o processo de instalação do Satellite, os certificados SSL são criados com horas incorretas. Se a hora do Satellite é então corrigida, a data e hora de início do certificado podem ser configuradas no futuro, tornando-o inválido.
Para resolver isso, verifique a data e hora nos clientes e no Satellite com o seguinte comando: 
date
Os resultados devem ser praticamente idênticos em todas as máquinas e dentro das janelas de validação "notBefore" e "notAfter" dos certificados. Verifique as datas e horas do certificado do cliente com o seguinte comando: 
openssl x509 -dates -noout -in /usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT
Verifique as datas e horas do certificado do servidor do Satellite com o seguinte comando: 
openssl x509 -dates -noout -in /etc/httpd/conf/ssl.crt/server.crt
Por padrão, o certificado do servidor tem vida útil de um ano, enquanto os certificados do cliente são válidos por 10 anos. Se você descobrir que os certificados estão incorretos, pode aguardar a hora de início da validação, se possível, ou criar novos certificados; de preferência com as horas de todos os sistemas definidas como GMT.
As medidas seguintes podem ser usadas para resolver erros de conexão genéricos:
  • Tente conectar ao banco de dados do RHN Satellite na linha de comando usando o string da conexão, conforme encontrado no /etc/rhn/rhn.conf: 
    sqlplus username/password@sid
  • Garanta que o RHN Satellite esteja usando o Network Time Protocol (NTP) e configurado com o fuso horário apropriado. Isto também se aplica a todos os sistemas cliente e à máquina separada do banco de dados no RHN Satellite com Stand-Alone Database.
  • Confirme se o pacote correto: 
    7 rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm
    está instalado no RHN Satellite e se o rhn-org-trusted-ssl-cert-*.noarch.rpm ou o certificado (cliente) CA SSL público bruto está instalado em todos os sistemas cliente.
  • Verifique se os sistemas cliente estão configurados para usar o certificado apropriado.
  • Se usar também um ou mais RHN Proxy Servers, garanta que cada certificado SSL do Proxy esteja preparado corretamente. O Proxy deve ter ambos, o par de chaves SSL de seu próprio servidor e o certificado (cliente) público SSL da CA, instalados, já que servirá nas duas capacidades. Consulte o capítulo SSL Certificates do RHN Client Configuration Guide para instruções específicas.
  • Certifique-se de que os sistemas cliente não estejam usando seus próprios firewalls e bloqueando as portas necessárias, conforme identificadas na Seção 2.4, “Requisitos Adicionais”.