问题现象
问题分析
属于Agent操作系统的根认证机构过期问题,需要下载CA然后在系统安装。
DigiCert根证书和中间证书将在未来几年过期,一旦证书过期,基于证书颁发的SSL/TLS证书将不再信任,导致网站无法HTTPs访问。需要迁移到新的根证书和中间证书链。
相关链接
https://anyware.hp.com/knowledge/solution-to-licensing-problems-with-cloud-license-service-cls
解决方案
Windows:
• 下载 Amazon Root CA:amz-all-compliance.flexnetoperations.com.crt
• 请注意,下载证书文件可能会在 Windows 上生成警告。
选项 1 使用 Windows GUI 安装证书:
- 在证书窗口中,单击安装证书
- 选择本地计算机(适用于所有用户)或当前用户(仅适用于您自己),然后单击下一步
- 选择根据证书类型自动选择存储,然后单击下一步,然后单击完成
- 单击“确定”确认安装
- 转到开始菜单 -> “管理计算机证书”,确保已安装 Amazon Root CA 1-4,如以下屏幕截图所示。
选项 2 命令行安装:
• 注意:这会将适用于 Windows 操作系统的所有最新证书安装到您的证书存储中 - 请咨询您的 IT 管理员,因为这需要管理员权限。
- 使用提升(管理员)权限打开命令提示符
- 运行:“ certutil.exe -generateSSTFromWU roots.sst ”
- 运行:“ certutil.exe -addstore root roots.ss t”
- 转到“开始”菜单 -> “管理计算机证书”,确保已安装 Amazon Root CA 1-4,如上图所示
注意:如果安装后,证书不在上述文件夹中,您可以手动将crt文件移动到上述文件夹中。
Linux——RHEL/Rocky
- 下载 Amazon Root CA:amz-all-compliance.flexnetoperations.com.crt
- 将下载的 CA 文件移动到/etc/pki/ca-trust/source/anchors/
- sudo 更新 ca 信任
- 运行以下命令以确保 /etc/ssl/certs 具有 Amazon_Root_CA_*.pem (1-4):
o openssl x509 -in /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem -text -noout
Linux——Ubuntu
- sudo apt 安装 ca 证书
- sudo 更新 ca 证书
- 运行以下命令以确保 /etc/ssl/certs 具有 Amazon_Root_CA_*.pem (1-4):
o ls -lha /etc/ssl/certs | grep Amazon_Root_CA
macOS
• 安装 Apple 的最新操作系统更新。
PCoIP认证FAQ:
【认证授权FAQ】SSL/TLS证书过期导致的CLS认证失败