Fehlerbehebung für erweiterte Verschlüsselung

Nachdem Sie den Befehl ' nzconfigcrypto verwendet haben, um die erweiterte Kryptographieunterstützung auf Ihrem Netezza Performance Server zu aktivieren, können beim Starten der NPS-Software Fehler auftreten.

Tabelle 1. Fehlerbehebung von nzstart-Fehlern
Nachricht Fehler Korrekturmaßnahme
nzstart: Error: Hostkey is not set. Cannot start the system in SP800-131a mode Ein Administrator könnte den Host-Schlüssel in einen Schlüssel geändert haben, der nicht mit der erweiterten Kryptounterstützung übereinstimmt, bevor er die NPS-Software gestoppt hat. Wenn Sie den richtigen Hostschlüssel kennen, legen Sie ihn mit dem Befehl nzconfigcrypto -HK Keystore.Schlüsselname -enable fest und führen Sie den nzstart-Befehl erneut aus. Verwenden Sie andernfalls den folgenden Prozess:
  1. Inaktivieren Sie die Unterstützung der Verschlüsselung mit dem Befehl nzconfigcrypto -disable.
  2. Starten Sie den NPS mit dem Befehl ' nzstart neu.
  3. Stellen Sie eine Verbindung zu einer Performance Server-Datenbank her und zeigen Sie den aktuellen Hostschlüssel mit dem SHOW SYSTEM DEFAULT HOSTKEY-Befehl an. Sie können außerdem die aktuellen Keystores und Schlüssel zum Suchen des Hostschlüssels anzeigen oder Sie können einen neuen AES-256-Hostschlüssel für die Unterstützung der Verschlüsselung erstellen.
  4. Schließen Sie die Datenbankverbindung und verwenden Sie als nz-Benutzer den Befehl " nzconfigcrypto -HK keystore.keyname " -enable, um die Kryptounterstützung mit dem richtigen Hostschlüssel zu aktivieren.
  5. Stoppen und starten Sie die NPS-Software mit den nzstop- und nzstart-Befehlen erneut.
nzstart: Error: Connection Authentication types MD5 and CRYPT are not allowed in SP800-131a mode. Starten von NPS im Krypto-Modus mit MD5/CRYPT. Der MD5/CRYPT-Authentifizierungstyp ist im Verschlüsselungsmodus nicht zulässig. Siehe Aktualisieren von Verbindungen für die Kryptounterstützung.
nzstart: Error: Please drop the current LDAP configuration and restart NPS with a new LDAP configuration. Starten von NPS im Krypto-Modus, ohne dass die alte LDAP-Verbindung unterbrochen wird. Die alte LDAP-Verbindung/-Konfiguration ist mit dem Verschlüsselungsmodus nicht kompatibel und muss gelöscht sowie erneut erstellt werden.
  1. Inaktivieren Sie die Unterstützung der Verschlüsselung mit dem Befehl nzconfigcrypto -disable.
  2. Starten Sie den NPS mit dem Befehl ' nzstart neu.
  3. Stellen Sie eine Verbindung zu einer Performance Server-Datenbank her und löschen Sie die aktuelle LDAP-Authentifizierung mit dem SET AUTHENTICATION LOCAL-Befehl.
  4. Aktivieren Sie die Unterstützung der Verschlüsselung mit dem Befehl nzconfigcrypto -enable.
  5. Stoppen und starten Sie die NPS-Software mit den nzstop- und nzstart-Befehlen erneut.
  6. Stellen Sie eine Verbindung zu einer Performance Server-Datenbank her und stellen Sie die LDAP-Konfiguration mit dem SET AUTHENTICATION LDAP-Befehl wieder her.
nzstart: Error: The DSA key used for audit signing must be of type DSA_KEYPAIR_2048 in SP800-131a mode. Der NPS wird im Krypto-Modus gestartet, aber die aktuelle Konfiguration des Audit-Verlaufs ist nicht digital signiert und mit dem Krypto-Modus kompatibel. Ein Administrator hat möglicherweise die Verlaufskonfiguration in eine Konfiguration geändert, die nicht mit einem Schlüssel des Typs DSA_KEYPAIR_2048 digital signiert ist. Nach dem Stoppen der NPS-Software konnte die NPS-Software nicht mit der neuen Audit-Konfiguration neu gestartet werden.
  1. Inaktivieren Sie die Unterstützung der Verschlüsselung mit dem Befehl nzconfigcrypto -disable.
  2. Starten Sie den NPS mit dem Befehl ' nzstart neu.
  3. Stellen Sie eine Verbindung zu einer Performance Server-Datenbank her und verwenden Sie den SHOW HISTORY CONFIGURATION-Befehl, um die aktuelle Konfiguration zu prüfen. Suchen Sie die Werte in den KEYSTORE_NAME- und KEY_ALIAS-Feldern und ermitteln Sie mit dem Befehl SHOW KEYSTORE <Keystorename> VERBOSE, ob der Hostschlüssel vom Typ DSA_KEYPAIR_2048 ist.
  4. Wenn der Schlüssel einen anderen Typ hat, können Sie die Auditverlaufskonfiguration ändern, um einen anderen DSA_KEYPAIR_2048-Schlüssel anzugeben. Sie müssen die Verlaufskonfiguration auf einen anderen Wert setzen, die NPS-Software stoppen und erneut starten, dann die Verbindung zu einer Datenbank wiederherstellen und den Befehl ALTER HISTORY CONFIGURATION <Name> KEY <Keystore.Schlüsselname> verwenden, um die aktuelle Verlaufskonfiguration zu ändern. Sie können dann die Verlaufskonfiguration auf die geänderte Prüfkonfiguration setzen.
  5. Schließen Sie die Datenbankverbindung und verwenden Sie als nz-Benutzer den Befehl ' nzconfigcrypto -HK keystore.keyname ' -enable, um die Kryptounterstützung zu aktivieren.
  6. Stoppen und starten Sie die NPS-Software mit den nzstop- und nzstart-Befehlen erneut.