Probleemoplossing Kan geen verbinding maken met het X509-certificaat voor server verlopen

Downloadopties

  • PDF     (317.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (87.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (74.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 augustus 2022
Document-id:218059

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft stappen om het probleem op te lossen Unable to connect to the server: x509: certificate has expired or is not yet valid fout.

    Probleem

    Aansluitingen op de Ultra Cloud Subscriber Microservices Infrastructuur (SMI) Koebectl gooien de fout.

    Unable to connect to the server: x509: certificate has expired or is not yet valid

    Kubernetes regelt de communicatie van het vliegtuigknooppunt via SSL-tunnel. SSL-tunnel maakt doorgaans gebruik van een reeks vertrouwde certificeringsautoriteiten van derden om de authenticiteit van certificaten vast te stellen.

    Wanneer het certificaat is verlopen, stopt de communicatie van de verkeersplanner.

    Zo controleert u het verlopen van de certificaten: kubectl get secrets --all-namespaces | grep 'kubernetes.io/tls' | awk '{print $2, $1}' | xargs -n2 sh -c 'echo container $0 namespace $1;kubectl -n $1 get secret $0 -o jsonpath="{.data.tls\.crt}" | base64 -d | openssl x509 -noout -enddate; echo ----------------------'

    cloud-user@k8-rcdn-primary-1:~$ kubectl get secrets --all-namespaces | grep 'kubernetes.io/tls' | awk '{print $2, $1}' | xar
    gs -n2 sh -c 'echo container $0 namespace $1;kubectl -n $1 get secret $0 -o jsonpath="{.data.tls\.crt}" | base64 -d | open
    ssl x509 -noout -enddate; echo ----------------------'
    container cert-cli-cee-k8-rcdn-ops-center-ingress namespace cee-k8-rcdn
    notAfter=May 1 16:54:39 2023 GMT
    ----------------------
    container cert-docs-cee-k8-rcdn-product-documentation-ingress namespace cee-k8-rcdn
    notAfter=May 1 16:56:04 2023 GMT
    ----------------------
    container cert-grafana-ingress namespace cee-k8-rcdn
    notAfter=May 1 16:56:06 2023 GMT
    ----------------------
    container cert-restconf-cee-k8-rcdn-ops-center-ingress namespace cee-k8-rcdn
    notAfter=May 1 16:54:40 2023 GMT
    ----------------------
    container cert-show-tac-cee-k8-rcdn-ops-center-ingress namespace cee-k8-rcdn
    notAfter=May 1 16:54:40 2023 GMT
    ----------------------
    container cert-show-tac-cee-k8-rcdn-smi-show-tac-ingress namespace cee-k8-rcdn
    notAfter=May 1 16:56:07 2023 GMT
    ----------------------
    container cert-cli-smf-rcdn-ops-center-ingress namespace smf-rcdn
    notAfter=May 1 16:54:56 2023 GMT
    ----------------------
    container cert-restconf-smf-rcdn-ops-center-ingress namespace smf-rcdn
    notAfter=May 1 16:54:57 2023 GMT
    ----------------------
    container cert-show-tac-smf-rcdn-ops-center-ingress namespace smf-rcdn
    notAfter=May 1 16:54:57 2023 GMT
    ----------------------
    container cert-cli-smf-rcdn1-ops-center-ingress namespace smf-rcdn1
    notAfter=May 1 16:55:07 2023 GMT
    ----------------------
    container cert-restconf-smf-rcdn1-ops-center-ingress namespace smf-rcdn1
    notAfter=May 1 16:55:08 2023 GMT
    ----------------------
    container cert-show-tac-smf-rcdn1-ops-center-ingress namespace smf-rcdn1
    notAfter=May 1 16:55:08 2023 GMT
    ----------------------
    container cert-cli-smf-rcdn2-ops-center-ingress namespace smf-rcdn2
    notAfter=May 3 18:11:26 2023 GMT
    ----------------------
    container cert-restconf-smf-rcdn2-ops-center-ingress namespace smf-rcdn2
    notAfter=May 3 18:11:28 2023 GMT
    ----------------------
    container cert-show-tac-smf-rcdn2-ops-center-ingress namespace smf-rcdn2
    notAfter=May 3 18:11:27 2023 GMT
    ----------------------
    container cert-cli-smf-rcdn3-ops-center-ingress namespace smf-rcdn3
    notAfter=May 3 18:11:41 2023 GMT
    ----------------------
    container cert-restconf-smf-rcdn3-ops-center-ingress namespace smf-rcdn3
    notAfter=May 3 18:11:43 2023 GMT
    ----------------------
    container cert-show-tac-smf-rcdn3-ops-center-ingress namespace smf-rcdn3
    notAfter=May 3 18:11:42 2023 GMT
    ----------------------

    Oplossing

    1. Controleer dat apiserver.crt de juiste einddatum toont.

    ubuntu@labnode-cnat-cnat-core-primary1:~$ cd /data/kubernetes/pki
    ubuntu@labnode-cnat-cnat-core-primary1:/data/kubernetes/pki$ sudo su
    root@labnode-cnat-cnat-core-primary1:/data/kubernetes/pki# sudo cat /data/kubernetes/pki/apiserver.crt | openssl x509 -enddate -noout 
    notAfter=Feb 17 08:22:04 2022 GMT

    2. Controleer de einddatum in SSL.

    ubuntu@labnode-cnat-cnat-core-primary1:~$ echo | openssl s_client -showcerts -servername gnupg.org -connect localhost:6443 2>/dev/null | openssl x509 -inform pem -noout -text
    Certificate:
    Data:
    Version: 3 (0x2)
    Serial Number: 44335566778899aabba (0xabcdef0123456789)
    Signature Algorithm: sha256WithRSAEncryption
    Issuer: CN = kubernetes
    Validity
    Not Before: Mar 17 11:59:23 2020 GMT
    Not After : Mar 19 10:37:35 2021 GMT

    3. Controleer de status van de docker container.

    root@labnode-cnat-cnat-core-primary1:/data/kubernetes/pki# docker ps -f "name=k8s_kube-apiserver"
    CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
    f988867819ed c2c9a0406787 "kube-apiserver --ad…" 12 months ago Up 12 months k8s_kube-apiserver_kube-apiserver-labnode-cnat-cnat-core-primary1_kube-system_00112233445566778899aabbccddeeff_0
    root@labnode-cnat-cnat-core-primary1:/data/kubernetes/pki# 
    root@labnode-cnat-cnat-core-primary1:/data/kubernetes/pki# docker ps -f "name=k8s_kube-controller"
    CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
    929a8f1ef716 6e4bffa46d70 "kube-controller-man…" 3 days ago Up 3 days k8s_kube-controller-manager_kube-controller-manager-labnode-cnat-cnat-core-primary1_kube-system_112233445566778899aabbccddeeff00_2
    root@labnode-cnat-cnat-core-primary1:/data/kubernetes/pki# docker ps -f "name=k8s_kube-scheduler" 
    CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
    32783a2c3a71 ebac1ae204a2 "kube-scheduler --au…" 12 months ago Up 12 months k8s_kube-scheduler_kube-scheduler-labnode-cnat-cnat-core-primary1_kube-system_2233445566778899aabbccddeeff0011_1
    root@labnode-cnat-cnat-core-primary1:/data/kubernetes/pki#

    4. Herstart de dokken van kube-apiserver en kube-planner op alle drie de besturingsplatformknooppunten.

    docker ps -f "name=k8s_kube-apiserver" -q | xargs docker restart
    docker ps -f "name=k8s_kube-scheduler" -q | xargs docker restart

    5. Bevestig dat apiserver.crt de juiste einddatum toont.

    root@labnode-cnat-cnat-core-primary1:/data/kubernetes/pki# sudo cat /data/kubernetes/pki/apiserver.crt | openssl x509 -enddate -noout 
    notAfter=Feb 17 08:22:04 2022 GMT

    6. Controleer dat de einddatum wordt bijgewerkt in SSL en dat deze de juiste einddatum heeft.

    echo | openssl s_client -showcerts -servername gnupg.org -connect localhost:6443 2>/dev/null | openssl x509 -inform pem -noout -text

    7. Controleer of het cluster gezond is

    Raadpleeg de infrastructuurhandleidingen voor Cisco Ultra Cloud Core - Subscriber Microservices voor meer informatie over de bewerkingen.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    23-Aug-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Dennis Lanov
      Cisco TAC Technical Leader

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten