我有一个独立的ServiceFabric集群(3个节点)。我为服务器和客户端授权创建了SSL证书。然后,我将证书指纹分配给了集群配置。一切都正常运行(集群健康状态正常,我的应用程序也正常工作),但是Microsoft-ServiceFabric/Admin日志中有很多错误。以下警告和错误每分钟都会写入日志:
- CryptAcquireCertificatePrivateKey失败。错误:0x80090014 - 无法获取证书的私钥文件名。错误:0x80090014 - 所有尝试获取私钥文件名均失败。 - 未能获取证书的私钥。Thumbprint:{Cert Thumbprint}。错误:E_FAIL - 未能获取私钥文件。x509FindValue:{Cert Thumbprint},x509StoreName:My,findType:FindByThumbprint,错误E_FAIL - SetCertificateAcls失败。错误代码:E_FAIL无法ACL - FabricNode/ServerAuthX509FindValue,ErrorCode E_FAIL
我已将私钥存储的写权限分配给NETWORK SERVICE和SYSTEM。同时,我还为PK存储分配了gMSA帐户。但是错误仍然出现在日志中。另一方面,一切看起来都很好,集群正在运行中...
这是我的集群配置(安全部分):
"security":{ "ServerCredentialType":"X509", "ClusterCredentialType":"Windows", "WindowsIdentities":{ "ClustergMSAIdentity":"gMSAccountName@domain.com", "ClusterSPN":"http/servicefabric" }, "CertificateInformation":{ "ServerCertificate": { "Thumbprint": "{Cert Thumbprint}", "X509StoreName": "My" }, "ClientCertificateThumbprints":[ { "CertificateThumbprint":"{Cert Thumbprint}", "IsAdmin":true } ], "X509StoreName": "My" } },
我使用了OpenSSL 1.0.2k-fips 26 Jan 2017创建x509证书。我遵循了这篇文章中的步骤:https://gist.github.com/harishanchu/e82d759c0235379d1778f799992b5774。有人能澄清这个问题吗?
- CryptAcquireCertificatePrivateKey失败。错误:0x80090014 - 无法获取证书的私钥文件名。错误:0x80090014 - 所有尝试获取私钥文件名均失败。 - 未能获取证书的私钥。Thumbprint:{Cert Thumbprint}。错误:E_FAIL - 未能获取私钥文件。x509FindValue:{Cert Thumbprint},x509StoreName:My,findType:FindByThumbprint,错误E_FAIL - SetCertificateAcls失败。错误代码:E_FAIL无法ACL - FabricNode/ServerAuthX509FindValue,ErrorCode E_FAIL
我已将私钥存储的写权限分配给NETWORK SERVICE和SYSTEM。同时,我还为PK存储分配了gMSA帐户。但是错误仍然出现在日志中。另一方面,一切看起来都很好,集群正在运行中...
这是我的集群配置(安全部分):
"security":{ "ServerCredentialType":"X509", "ClusterCredentialType":"Windows", "WindowsIdentities":{ "ClustergMSAIdentity":"gMSAccountName@domain.com", "ClusterSPN":"http/servicefabric" }, "CertificateInformation":{ "ServerCertificate": { "Thumbprint": "{Cert Thumbprint}", "X509StoreName": "My" }, "ClientCertificateThumbprints":[ { "CertificateThumbprint":"{Cert Thumbprint}", "IsAdmin":true } ], "X509StoreName": "My" } },
我使用了OpenSSL 1.0.2k-fips 26 Jan 2017创建x509证书。我遵循了这篇文章中的步骤:https://gist.github.com/harishanchu/e82d759c0235379d1778f799992b5774。有人能澄清这个问题吗?