Risoluzione dei problemi di crittografia migliorata

Dopo aver utilizzato il comando 'nzconfigcrypto per abilitare il supporto della crittografia avanzata sul sistema Netezza Performance Server, potrebbero verificarsi errori all'avvio del software NPS.

Tabella 1. Risoluzione degli errori nzstart
Messaggio Problema Azione correttiva
nzstart: Error: Hostkey is not set. Cannot start the system in SP800-131a mode Un amministratore potrebbe aver modificato la chiave host in una non conforme al supporto crittografico avanzato prima di arrestare il software NPS. Se si conosce la chiave host corretta da utilizzare, utilizzare il comando keystore.keyname 'nzconfigcrypto -HK '-enable per impostare la chiave host e quindi eseguire nuovamente il comando 'nzstart. Altrimenti, è possibile utilizzare questa procedura:
  1. Utilizzare il comando 'nzconfigcrypto -disable per disabilitare il supporto crittografico.
  2. Riavviare l'NPS utilizzando il comando " nzstart.
  3. Collegatevi a un database di Performance Server e utilizzate il comando SHOW SYSTEM DEFAULT HOSTKEY per visualizzare la chiave host corrente. È anche possibile visualizzare i keystore e le chiavi correnti per individuare la chiave host, oppure creare una nuova chiave host AES-256 per il supporto crittografico.
  4. Chiudere la connessione al database e, come utente nz, usare il comando keystore.keyname 'nzconfigcrypto -HK '-enable per abilitare il supporto della crittografia con la chiave host corretta.
  5. Arrestare e riavviare il software NPS utilizzando i comandi " nzstop e " nzstart.
nzstart: Error: Connection Authentication types MD5 and CRYPT are not allowed in SP800-131a mode. Avvio di NPS in modalità crittografica con tipo di autenticazione MD5/CRYPT. Il tipo di autenticazione MD5/CRYPT non è consentito in modalità crypto. Vedere Aggiornamento delle connessioni per il supporto crittografico.
nzstart: Error: Please drop the current LDAP configuration and restart NPS with a new LDAP configuration. Avvio di NPS in modalità crittografica senza interrompere la vecchia connessione LDAP. La vecchia connessione/configurazione LDAP non è compatibile con la modalità crypto e deve essere abbandonata e ricreata.
  1. Utilizzare il comando 'nzconfigcrypto -disable per disabilitare il supporto crittografico.
  2. Riavviare l'NPS utilizzando il comando " nzstart.
  3. Collegarsi a un database di Performance Server e abbandonare l'autenticazione LDAP corrente usando il comando SET AUTHENTICATION LOCAL.
  4. Utilizzare il comando 'nzconfigcrypto -enable per abilitare il supporto crittografico.
  5. Arrestare e riavviare il software NPS utilizzando i comandi " nzstop e " nzstart.
  6. Collegarsi a un database di Performance Server e ripristinare la configurazione LDAP utilizzando il comando SET AUTHENTICATION LDAP
nzstart: Error: The DSA key used for audit signing must be of type DSA_KEYPAIR_2048 in SP800-131a mode. Avvio dell'NPS in modalità crittografica, ma la configurazione corrente della cronologia di audit non è firmata digitalmente e compatibile con la modalità crittografica. Un amministratore potrebbe aver modificato la configurazione della cronologia in una configurazione che non è firmata digitalmente con una chiave di tipo DSA_KEYPAIR_2048. Dopo l'arresto del software NPS, non è stato possibile riavviare il software NPS con la nuova configurazione di audit.
  1. Utilizzare il comando 'nzconfigcrypto -disable per disabilitare il supporto crittografico.
  2. Riavviare l'NPS utilizzando il comando " nzstart.
  3. Collegarsi a un database di Performance Server e utilizzare il comando SHOW HISTORY CONFIGURATION per esaminare la configurazione corrente. Cercare i valori nei campi KEYSTORE_NAME e KEY_ALIAS e usare il comando SHOW KEYSTORE <keystore_name> VERBOSE per determinare se la chiave host è di tipo DSA_KEYPAIR_2048.
  4. Se la chiave è di tipo diverso, è possibile modificare la configurazione della cronologia di audit per specificare una chiave DSA_KEYPAIR_2048 diversa. Per modificare la configurazione della cronologia corrente, è necessario impostare la configurazione della cronologia su un altro valore, arrestare e riavviare il software NPS, quindi ricollegarsi a un database e utilizzare il comando ALTER HISTORY CONFIGURATION <nome> KEY <keystorekeystore.keyname. È quindi possibile impostare la configurazione della cronologia sulla configurazione di audit modificata.
  5. Chiudere la connessione al database e, come utente nz, usare il comando keystore.keyname 'nzconfigcrypto -HK '-enable per abilitare il supporto della crittografia.
  6. Arrestare e riavviare il software NPS utilizzando i comandi " nzstop e " nzstart.