Probleemoplossing voor IM&P-services die in de Presence-topologie als "onbekend" worden weergegeven

Downloadopties

  • PDF     (600.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (378.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (236.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:2 november 2021
Document-id:217514

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u problemen kunt oplossen met de pagina Presence Topology wanneer de diensten als Onbekend worden weergegeven op de serverknooppunten Instant Message and Presence (IM&P).

    Achtergrondinformatie

    Wanneer u naar de IM&P-beheerpagina navigeert > Systeem > Presence Topology om de status van de server te controleren, kunt u tegenkomen dat de server niet in de juiste staat is. In dit geval toont de server een wit kruis in een rode cirkel, ook al zijn de diensten gestart zoals getoond op de Command Line Interface (CLI) via de opdracht utils Service List.

    Dit document beschrijft de meest voorkomende redenen waarom deze fouten worden weergegeven op de Presence Topology webpagina en hoe ze te repareren.

    Probleem

    Wanneer u kiest voor weergave op een van de betrokken knooppunten, kunt u deze fouten zien op de webpagina: de status van de diensten is onbekend:

    Cisco IM&P display the services as unknown

    Als u echter toegang hebt tot de CLI Secure Shell (SSH)-sessie van de IM&P-server en de opdracht uitvoert, doet u het volgende: Zie je dat al die diensten in de "GESTART" staat.

    Cisco IM&P services display as started on the CLI

    Oplossing

    De fout in de GUI is gekoppeld aan een afgifte van een Tomcat-certificaat. Dit moet worden geverifieerd:

    Stap 1. Zorg ervoor dat al uw Tomcat en Tomcat-trust certificaten niet verlopen zijn, anders moeten die worden geregenereerd.

    Stap 2. Als uw server CA-Signed certificaten gebruikt, moet u bevestigen dat de gehele Tomcat-keten compleet is. Dit betekent dat de tussenproducten en basiscertificaten moeten worden geüpload als Tomcat-trust.

    Hier is een voorbeeld van een ontbrekend certificaat in de Tomcat-keten. In dit geval bestaat de Tomcat-certificaatketen uit slechts twee certificaten: Root > Leaf, er zijn echter scenario's waarbij meer dan 2 of 3 tussencertificaten de keten bouwen.

    Cisco IM&P certificates' chain is not complete

    In het beeldvoorbeeld, de Emittent: mexrus-TENOCHTITLAN-CA is het ontbrekende certificaat.

    Vereiste logbestanden

    Navigeren naar IM en Presence Service > Trace > Trace Configuration > Server om te selecteren: IM&P Publisher > Servicegroep > Database- en beheerservices > Service: Cisco IM en Presence Admin > Toepassen op alle knooppunten > Debugniveau: Debug > Controleer het vakje Enable All Trace > Save.

    Navigeer naar IM en Presence Administration > System > Presence Topology > Kies het knooppunt dat wordt beïnvloed door de onbekende services en noteer de tijdstempel.

    Open de Cisco Real-Time Monitor Tool (RTMT) en verzamel deze logbestanden:

    • Cisco Syslog
    • Cisco Tomcat
    • Cisco Tomcat Security
    • Toepassingslogboeken voor Event Viewer
    • Logboeken voor Event Viewer
    • Logboeken voor Cisco IM en Presence Admin

    Wat te verwachten in de logbestanden

    Vanuit de cupadmin*.log

    Wanneer u het paneel Presence Topology > Node opent.

    2021-01-23 17:54:57,036 DEBUG [Thread-137] logging.IMPCommonLogger - IMPSocketFactory: Create socket called with host tenochtitlanIMP.mexrus.ru and port 8443
    2021-01-23 17:54:57,040 DEBUG [Thread-137] logging.IMPCommonLogger - Enabled protocols: [TLSv1.1, TLSv1, TLSv1.2]

    Er werd een uitzondering ontvangen omdat een certificaat niet werd geverifieerd.

    2021-01-23 17:54:57,087 ERROR [Thread-137] services.ServiceUtil - Got an exception setting up the HTTPS connection.
    javax.net.ssl.SSLException: Certificate not verified.
    at com.rsa.sslj.x.aH.b(Unknown Source)
    at com.rsa.sslj.x.aH.a(Unknown Source)
    at com.rsa.sslj.x.aH.a(Unknown Source)
    at com.rsa.sslj.x.ap.c(Unknown Source)
    at com.rsa.sslj.x.ap.a(Unknown Source)
    at com.rsa.sslj.x.ap.j(Unknown Source)
    at com.rsa.sslj.x.ap.i(Unknown Source)
    at com.rsa.sslj.x.ap.h(Unknown Source)
    at com.rsa.sslj.x.aS.startHandshake(Unknown Source)
    at com.cisco.cup.services.ServiceUtil.init(ServiceUtil.java:118)
    at com.cisco.cup.services.ServiceUtil.getServiceInfo(ServiceUtil.java:197)
    at com.cisco.cup.services.ServiceUtil.getServiceInfo(ServiceUtil.java:182)

    Wanneer u probeert de status van het knooppunt voor de topologie op te halen:

    at com.cisco.cup.admin.actions.TopologyNodeStatusAction$ServiceRunner.run(TopologyNodeStatusAction.java:358)
    at java.lang.Thread.run(Thread.java:748)
    Caused by: com.rsa.sslj.x.aK: Certificate not verified.
    at com.rsa.sslj.x.bg.a(Unknown Source)
    at com.rsa.sslj.x.bg.a(Unknown Source)
    at com.rsa.sslj.x.bg.a(Unknown Source)
    ... 13 more

    Een uitzondering wordt veroorzaakt door de ontbrekende emittent van het Tomcat Certificaat.

    Caused by: java.security.cert.CertificateException: Issuer for signed certificate [CN=tenochtitlanCM-ms.mexrus.ru,OU=Collab,O=Cisco,L=Mexico,ST=Mexico City,C=MX] not found: CN=mexrus-TENOCHTITLAN-CA,DC=mexrus,DC=ru
    at com.cisco.cup.security.TLSTrustManager.checkServerTrusted(TLSTrustManager.java:309)
    at com.rsa.sslj.x.aE.a(Unknown Source)
    ... 16 more

    2021-01-23 17:54:57,087 DEBUG [Thread-137] actions.TopologyNodeStatusAction$ServiceRunner - Retrieved service status for node tenochtitlanIMP.mexrus.ru
    2021-01-23 17:54:57,088 DEBUG [http-bio-443-exec-8] actions.TopologyNodeStatusAction - [Topology] VerifyNodeServices - Complete.

    Een ander type uitzondering kan gevonden worden op de cupadmin*.log sporen, die de fout "Onjuiste emittent voor server cert" weergeven:

    Caused by: java.security.cert.CertificateException: Incorrect issuer for server cert
                    at com.cisco.cup.security.TLSTrustManager.checkServerTrusted(TLSTrustManager.java:226)
                    at com.rsa.sslj.x.aE.a(Unknown Source)
                    ... 16 more
    2017-10-14 09:04:01,667 ERROR [Thread-125] services.ServiceUtil - Failed to retrieve service status. Reason: Certificate not verified.
    javax.net.ssl.SSLException: Certificate not verified.

    In dit geval erkent de IM&P het Emittent-certificaat voor de Tomcat niet als een geldig Emittent-certificaat, wat hoogstwaarschijnlijk werd veroorzaakt door een beschadigd certificaat. De opties zijn:

    • Bevestig de informatie die wordt gepresenteerd op: Tomcat- en emittentencertificaten.
    • Krijg een ander emittentencertificaat en vergelijk het met dat reeds in de IM&P Trust Store is.
    • Verwijdert het emittentencertificaat uit IM&P en upload het opnieuw.
    • Herstel het Tomcat CA-certificaat.

    Opmerking: Let op de Cisco bug ID CSCvu78005, die verwijst naar de Tomcat RSA/ECDSA Keystore werkt niet in alle knooppunten bij wanneer het bestaande CA-certificaat in de keten wordt vervangen.

    Stap 1. Start de opdracht hulpprogramma’s diagnosticeren op het betreffende knooppunt.

    Stap 2. Neem contact op met het Cisco Technical Assistance Center (TAC) voor verdere assistentie.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    02-Nov-2021
    Eerste vrijgave
    1.0
    02-Nov-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Miguel Castillo
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten