حل مشكلات AppDynamics SSL/TLS بعد تحديث DigiCert Root G2

المقدمة

يوضح هذا المستند كيفية معالجة مشاكل الثقة في شهادات SSL (طبقة مأخذ التوصيل الآمنة)/ TLS (أمان طبقة النقل) في عملاء AppDynamics.

المتطلبات الأساسية

المكونات المستخدمة

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يوضح هذا المستند كيفية معالجة مشاكل الثقة في شهادة SSL (طبقة مأخذ التوصيل الآمنة)/ TLS (أمان طبقة النقل) في عملاء AppDynamics بعد الترحيل الأخير من المرجع المصدق الجذر العام DigiCert إلى DigiCert Global Root G2.

فهي توفر خطوات تفصيلية لضمان التهيئة المناسبة واستعادة الاتصال بسلاسة تامة.

في عام 2023، بدأ DigiCert الانتقال إلى شهادة توقيع الجذر العام DigiCert Global Root G2 لإصدار شهادات TLS/SSL العامة. وقد دفع هذا التغيير موزيلا إلى تحديث سياسة الثقة، التي تقضي بتحديث الشهادات الأصلية كل 15 سنة، وعدم الثقة بالشهادات القديمة اعتبارا من عام 2025.

تستخدم شهادة التوقيع الجديدة خوارزمية SHA-256 الأكثر أمانا، مع إستبدال المعيار SHA-1 القديم. كجزء من هذا الانتقال، قام AppDynamics بتحديث شهادات SSL الخاصة به للمجال .saas.appdynamics.com لاستخدام شهادات الجيل الثاني على 2025-06-10.

تسبب هذا التحديث في فقدان بعض وكلاء التطبيقات الاتصال بوحدات تحكم SAAs بسبب عدم قدرتهم على التعرف على الشهادة الجديدة. لضمان إمكانية اتصال غير متقطعة، من المهم للغاية تحديث مخزن ثقة عامل AppDynamics لتضمين شهادات DigiCert Global Root G2 و IdenTrust الجديدة.

ملاحظة: يؤثر هذا التغيير بشكل أساسي على الوكلاء الذين يستخدمون TrustStore المخصص أو يستخدمون إصدارا قديما جدا من نظام التشغيل/Java حيث لا يتم تضمين الشهادة المطلوبة في نظام التشغيل/Java TrustStore الافتراضي.

المشكلة

توجد مشكلة اتصال بين عوامل AppDynamics ووحدة التحكم، وتظهر السجلات أخطاء تتعلق بتكوين SSL أو الاتصال.

مثال رسالة خطأ في السجلات: "فشل إنشاء مسار PKIX: xxxx: يتعذر العثور على مسار شهادة صالح لمحاولة التحقق من صحة الهدف المطلوب

الحل

الخطوة 1. تنزيل الشهادات

• جذر عام DigiCert g2:
  • زيارة شهادات مرجع الجذر الموثوق به ل DigiCert
  • ابحث عن "DigiCert Global Root G2" وقم بتنزيل الشهادة.

• IdenTrust:
  • الانتقال إلى IdenTrust Commercial Root CA 1
  • انسخ محتوى الشهادة وحفظه كملف (على سبيل المثال، IDentrustCommercial.cer أو IDentrustCommercial.pem)

الخطوة 2. تحديد موقع TrustStore

ملاحظة: موقع TrustStore مطلوب في الخطوة 3. إستيراد الشهادات إلى TrustStore

• عامل Java أو قاعدة البيانات أو الجهاز

  • خاصية JVM Argument TrustStore

    1. تحقق مما إذا كانت الخاصية -Djavax.net.ssl.trustStore في الإعداد كوسيطات JVM عند تشغيل الوكيل.
    2. في حالة تعيين هذه الخاصية، قم بفحص ملف مخزن المفاتيح المحدد بواسطة هذه الخاصية للتأكد من أنه يتضمن كلا الشهادتين (شهادات جذر DigiCert Global Root G2 و IdenTrust).
       (إذا لم يتم تعيين الخاصية، فقم بالمتابعة إلى الخطوة التالية.)
       
       

  • XML الخاص بمعلومات وحدة التحكم

    1. يمكن تكوين "الوكيل" لاستخدام مخزن المفاتيح المحدد في ملف controller-info.xml في دليل CONF الوكيل.
    2. تحقق من إعداد اسم الملف الخاص بوحدة التحكم - مفتاح التخزين.
    3. إذا كان موجودا، قم بفحص ملف مخزن المفاتيح المحدد للتأكد من تضمين كل من الشهادات.
       (إذا لم يتم العثور عليه، انتقل إلى الخطوة التالية.)
       
       
  • ملف cacerts.jks للوكيل
    1. تحقق من وجود ملف باسم cacerts.jkswithin في دليل تثبيت الوكيل.
    2. قم بفحص هذا الملف للتحقق من تضمين كل من الشهادات.
       (إذا لم يتم العثور عليه، انتقل إلى الخطوة التالية.)
       
       

       ملاحظة: دليل تثبيت الوكيل

       لوكيل Java: agent_home/verxxx/conf أو agent_home/conf

       بالنسبة للجهاز أو وكيل قاعدة البيانات: Agent_home/conf

       
       
  • JRE Default TrustStore
    1. إذا لم يتم العثور على أي من التكوينات السابقة، كعملية نسخ إحتياطي، يستخدم البرنامج العميل تقنية JRE الافتراضية TrustStore، والتي تقع عادة في موقع atJRE_HOME/lib/security/cacerts.
    2. قم بفحص هذا الملف للتأكد من تضمين الشهادات.
       
       

       ملاحظة: إذا كنت تستخدم ملف تعريف الحرية ل IBM WebSphere أو IBM WebSphere، فإن JRE_HOME موجود داخل دليل تثبيت AppServer أو Free ضمن دليل تثبيت WebSphere على التوالي، أي IBM_WEBSPHERE_HOME/AppServer/Java/ أو IBM_Websphere_HOME/Freedom/Java/

• وكيل التحليلات

  • • التحقق من تحديد مسار (بما في ذلك الاسم) Agent TrustStore باستخدام العنصر <ad.controller.https.trustStorePath> في وكيل تحليلات ملف تكوين الوكيل.Properties ثم يقوم العميل بتحميل Trustore.
    • في حالة عدم تحديده في thead.controller.https.trustStorePath، فإنه يقوم بتحميل JavaTrustStore الافتراضي الخاص ب JVM الذي يتم إستخدامه، <JRE_HOME>/lib/security/cacerts (تغيير كلمة المرور الافتراضية)
    • في حالة عدم تحديده في ad.controller.https.trustStorePath وعامل التحليلات يتم إستخدامه كملحق عميل الجهاز، فإنه يقوم بتحميل TrustStore المستخدم من قبل عميل الجهاز.

• وكيل DotNet
  

  • لنظام التشغيل Windows:
    
    • انتقل إلى طريقة عرض تثبيت الشهادة بالانتقال إلىRun> MMC.exe>تحديد Fileمن شريط الأدوات وتحديد الأداة الإضافية Add/Remove.
    • إضافة أو إزالة يفتح نافذة انجذاب، حدد شهادات>انقر إضافة. تفتح نافذة انجذاب الشهادة. SelectComputer Account>أختر كمبيوتر محلي أو كمبيوتر آخر وفقا لذلك >انقر فوق Finish>موافق.
    • قم بتوسيع الشهادات (كمبيوتر محلي) > حدد مجلد مرجع التصديق الجذر الموثوق به وتوسع لإظهار مجلد الشهادات.
    • انقر نقرا مزدوجا على مجلد الشهادات ولاحظ قائمة الشهادات الموثوق بها الموجودة. تحديد ما إذا كانت كل من شهادات الجذر العام من DigiCert G2 و IdenTrust Root موجودة بخلاف ذلك قم باستيراد الشهادات المفقودة.
      
      
  • بالنسبة لنظام التشغيل Linux:
    

    • يختلف موقع مخزن الثقة بين برامج لينوكس. تتضمن المواقع المشتركة: /etc/ssl/certs (نظام التشغيل مثل CentOS/RHEL/Debian)

ملاحظة: إذا كانت شهادات DigiCert Global Root G2 أو IdenTrust مفقودة من كل هذه المواقع المحددة، فأنت بحاجة لإضافتها. ارجع إلى الخطوات المذكورة في "الخطوة 3. إستيراد الشهادات إلى TrustStore" لاستيراد الشهادات إلى TrustStore.

الخطوة 3. إستيراد الشهادات إلى TrustStore

• عامل Java أو قاعدة البيانات أو الجهاز أو التحليلات

  • افتح الوحدة الطرفية أو موجه الأوامر واستخدم الأمر key tool هذا لاستيراد شهادات جذر DigiCert Global Root G2 و IdenTrust.

    keytool -import -trustcacerts -alias  -file  -keystore  -storepass 

    إستبدال:

    • : اسم مستعار فريد (على سبيل المثال، digicertglobalrootg2, identrustcoomercial).
    • : المسار إلى ملف الترخيص (على سبيل المثال، /home/username/Downloads/DigiCertGlobalRootG2.crt).
    • : المسار إلى ملف TrustStore للوكيل (على سبيل المثال، /opt/appdynamics/agent/ver25.x.x.x/conf/cacerts.jks).
    • : كلمة مرور TrustStore (الافتراضي: changeit, ما لم يكن مخصصا).

  • مثال لاستيراد شهادة DigiCert Global Root G2.

    keytool -import -trustcacerts -alias digicertglobalrootg2 -file /home/username/Downloads/DigiCertGlobalRootG2.crt -keystore /opt/appdynamics/agent/ver4.5.12.0/conf/cacerts.jks -storepass changeit

  • مثال لاستيراد شهادة الجذر التجاري ل IdenTrust.
    

    keytool -import -trustcacerts -alias identrustcommercial -file /home/username/Downloads/identrust_commercial.cer -keystore /opt/appdynamics/agent/ver4.5.12.0/conf/cacerts.jks -storepass changeit​

• وكيل DotNet

  • لنظام التشغيل Windows:
    
    • انتقل إلى طريقة عرض تثبيت الشهادة بالانتقال إلىRun> MMC.exe>تحديد Fileمن شريط الأدوات وتحديد الأداة الإضافية Add/Remove.
    • إضافة أو إزالة يفتح نافذة انجذاب، حدد شهادات>انقر إضافة. تفتح نافذة انجذاب الشهادة. SelectComputer Account>أختر كمبيوتر محلي أو كمبيوتر آخر وفقا لذلك >انقر فوق Finish>موافق.
    • قم بتوسيع الشهادات (كمبيوتر محلي) > حدد مجلد مرجع التصديق الجذر الموثوق به وتوسع لإظهار مجلد الشهادات.
    • انقر بزر الماوس الأيمن فوق CertificateFolder وحدد All Tasks > Import.يفتح معالج إستيراد الشهادات، وانتقل إلى الإرشادات ثم أضف المفقودشهادة DigiCert Global Root G2 و/أو شهادة IdenTrust Root.
      
      
  • بالنسبة لنظام التشغيل Linux:

    • انسخ ملفات شهادات جذر G2 و IdenTrust التي تم تنزيلها إلى دليل مخزن الثقة المحدد.

    • قم بتحديث مخزن الثقة عن طريق تشغيل الأمر.
      

      sudo update-ca-certificates

الخطوة 4. تحقق من الاستيراد

• عامل Java أو قاعدة البيانات أو الجهاز أو التحليلات

  • للتحقق من إضافة الشهادات بنجاح، قم بتشغيل الأمر:
    

    keytool -list -v -keystore  -storepass  | grep -e "DigiCert Global Root G2" -e "IdenTrust Commercial Root CA 1" -A 10​

    إستبدال:

    • <agent_trustedStore_path>: المسار إلى ملف TrustStore للوكيل.
    • <trustStore_password>: كلمة مرور TrustStore.

ملاحظة: تأكد من أن كل من DigiCert Global Root G2 وIdenTrust Commercial Root CA 1 يظهران في الإخراج.

• وكيل DotNet

  • لنظام التشغيل Windows:
    • انتقل إلى طريقة عرض تثبيت الشهادة بالانتقال إلىRun> MMC.exe>تحديد Fileمن شريط الأدوات وتحديد الأداة الإضافية Add/Remove.
    • إضافة أو إزالة يفتح نافذة انجذاب، حدد شهادات>انقر إضافة. تفتح نافذة انجذاب الشهادة. SelectComputer Account>أختر كمبيوتر محلي أو كمبيوتر آخر وفقا لذلك >انقر فوق Finish>موافق.
    • قم بتوسيع الشهادات (كمبيوتر محلي) > حدد مجلد مرجع التصديق الجذر الموثوق به وتوسع لإظهار مجلد الشهادات.
    • انقر نقرا مزدوجا فوق معرف Certificates ويجب أن ترى كل من شهادات الجذر العام DigiCert وجذر IdenTrust هناك.
      
      
  • بالنسبة لنظام التشغيل Linux:
    • قم بتشغيل الأمر والتحقق من وجود شهادات الجذر العام من الجيل الثاني و IdenTrust:
      

      awk '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/ {
          print > "/tmp/current_cert.pem"
          if (/-----END CERTIFICATE-----/) {
              system("openssl x509 -noout -subject -in /tmp/current_cert.pem | grep -E \"DigiCert|IdenTrust\"")
              close("/tmp/current_cert.pem")
          }
      }' /etc/ssl/certs/ca-certificates.crt​

الخطوة 5. إعادة تشغيل الوكيل

أخيرا، قم بإعادة تشغيل عامل AppDynamics. وهذا يسمح بتفعيل التغييرات.

معلومات ذات صلة

إستشارات الدعم: إضافة شهادات DigiCert و IdenTrust Root SSL إلى مخازن العملاء الموثوق بها

هل تحتاج إلى مزيد من المساعدة؟

إذا كان لديك سؤال أو واجهت مشاكل، يرجى إنشاء مخطط دعم بهذه التفاصيل:

• سجلات من الوكيل.
• تمت إضافة تفاصيل موقع TrustStore والشهادات.
• تمت مصادفة أي رسائل خطأ.