Red Hat Training

A Red Hat training course is available for Red Hat Satellite

7.5. 连​​​接​​​错​​​误​​​

常​​​见​​​的​​​连​​​接​​​问​​​题​​​是​​​出​​​现​​​ SSL_CONNECT 错​​​误​​​,它​​​是​​​由​​​于​​​在​​​没​​​有​​​正​​​确​​​设​​​定​​​时​​​间​​​的​​​机​​​器​​​中​​​安​​​装​​​ Satellite 造​​​成​​​的​​​。​​​在​​​ Satellite 的​​​安​​​装​​​过​​​程​​​中​​​,创​​​建​​​的​​​ SSL 证​​​书​​​中​​​有​​​一​​​个​​​不​​​准​​​确​​​的​​​时​​​间​​​。​​​如​​​果​​​修​​​正​​​了​​​这​​​个​​​ Satellite 时​​​间​​​,这​​​个​​​证​​​书​​​的​​​开​​​始​​​日​​​期​​​和​​​时​​​间​​​就​​​有​​​可​​​能​​​是​​​一​​​个​​​未​​​来​​​的​​​时​​​间​​​,从​​​而​​​使​​​它​​​无​​​效​​​。​​​
要​​​排​​​除​​​这​​​个​​​故​​​障​​​,请​​​在​​​客​​​户​​​端​​​系​​​统​​​和​​​ Satellite 中​​​使​​​用​​​以​​​下​​​命​​​令​​​检​​​查​​​日​​​期​​​/时​​​间​​​: 
date
所​​​有​​​机​​​器​​​的​​​结​​​果​​​都​​​会​​​几​​​乎​​​完​​​全​​​相​​​同​​​并​​​包​​​括​​​在​​​这​​​个​​​证​​​书​​​的​​​ "notBefore" 和​​​ "notAfter" 的​​​有​​​效​​​窗​​​口​​​中​​​。​​​使​​​用​​​以​​​下​​​的​​​命​​​令​​​检​​​查​​​客​​​户​​​证​​​书​​​的​​​日​​​期​​​和​​​时​​​间​​​: 
openssl x509 -dates -noout -in /usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT
使​​​用​​​以​​​下​​​的​​​命​​​令​​​检​​​查​​​ Satellite 服​​​务​​​器​​​的​​​证​​​书​​​日​​​期​​​和​​​时​​​间​​​: 
openssl x509 -dates -noout -in /etc/httpd/conf/ssl.crt/server.crt
在​​​默​​​认​​​的​​​情​​​况​​​下​​​,服​​​务​​​器​​​证​​​书​​​的​​​有​​​效​​​期​​​是​​​一​​​年​​​,而​​​客​​​户​​​端​​​证​​​书​​​的​​​有​​​效​​​期​​​是​​​十​​​年​​​。​​​如​​​果​​​您​​​发​​​现​​​证​​​书​​​不​​​正​​​确​​​,您​​​可​​​以​​​等​​​到​​​有​​​效​​​的​​​开​​​始​​​时​​​间​​​或​​​重​​​新​​​创​​​建​​​新​​​的​​​证​​​书​​​。​​​首​​​选​​​将​​​所​​​有​​​系​​​统​​​的​​​时​​​间​​​都​​​设​​​为​​​ GMT。​​​
可​​​使​​​用​​​以​​​下​​​方​​​法​​​排​​​除​​​一​​​般​​​连​​​接​​​错​​​误​​​:
  • 在​​​命​​​令​​​行​​​中​​​尝​​​试​​​使​​​用​​​ /etc/rhn/rhn.conf 中​​​的​​​正​​​确​​​连​​​接​​​字​​​符​​​串​​​与​​​ RHN Satellite 数​​​据​​​库​​​连​​​接​​​: 
    sqlplus username/password@sid
  • 确​​​认​​​ RHN Satellite 正​​​在​​​使​​​用​​​网​​​络​​​时​​​间​​​协​​​议​​​(NTP)并​​​设​​​置​​​为​​​正​​​确​​​的​​​时​​​区​​​。​​​这​​​适​​​用​​​于​​​所​​​有​​​的​​​客​​​户​​​系​​​统​​​和​​​在​​​有​​​ Stand-Alone Database 的​​​ RHN Satellite 中​​​的​​​独​​​立​​​的​​​数​​​据​​​库​​​机​​​器​​​。​​​
  • 确​​​认​​​正​​​确​​​的​​​软​​​件​​​包​​​: 
    7 rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm
    在​​​ RHN Satellite 中​​​安​​​装​​​,相​​​应​​​的​​​ rhn-org-trusted-ssl-cert-*.noarch.rpm 或​​​原​​​ CA SSL 公​​​共​​​(客​​​户​​​端​​​)证​​​书​​​在​​​所​​​有​​​客​​​户​​​系​​​统​​​上​​​被​​​安​​​装​​​。​​​
  • 确​​​认​​​将​​​客​​​户​​​端​​​系​​​统​​​配​​​置​​​为​​​使​​​用​​​正​​​确​​​的​​​证​​​书​​​。​​​
  • 如​​​果​​​还​​​使​​​用​​​一​​​个​​​或​​​多​​​个​​​ RHN Proxy Server,确​​​定​​​每​​​个​​​ Proxy 的​​​ SSL 证​​​书​​​都​​​是​​​正​​​确​​​的​​​。​​​Proxy 应​​​该​​​有​​​它​​​们​​​自​​​己​​​的​​​服​​​务​​​器​​​ SSL 密​​​钥​​​对​​​并​​​安​​​装​​​了​​​ CA SSL 公​​​共​​​(客​​​户​​​)。​​​具​​​体​​​步​​​骤​​​请​​​参​​​阅​​​《​​​RHN 客​​​户​​​配​​​置​​​指​​​南​​​》​​​中​​​的​​​ SSL 证​​​书​​​一​​​章​​​。​​​
  • 请​​​确​​​认​​​客​​​户​​​端​​​系​​​统​​​的​​​防​​​火​​​墙​​​没​​​有​​​屏​​​蔽​​​所​​​需​​​的​​​端​​​口​​​(参​​​阅​​​ 第 2.4 节 “附​​​加​​​要​​​求​​​”)。​​​