// 此模板仅供参考，如果不适用可以修改

问题描述

现在我在验证SSL证书更新功能，但是报错了

image1920×923 51.5 KB

报错日志如下：

2026-04-30 10:02:00.590008 security ERROR: cert_update.c(30): [certificate update] file(x509_extn.c), line(1690) msg(Invalid argument )
2026-04-30 10:02:00.680682 general_hardware ERROR: vrd_manager.lua(111): [VrdMgmt] Get bios status 180s, sys_id: 1, ok: nil, obj: nil
2026-04-30 10:02:00.931321 security ERROR: cert_update.c(30): [certificate update] file(pkcs10.c), line(1093) msg(Invalid attribute )
2026-04-30 10:02:00.932111 security ERROR: cert_update.c(30): [certificate update] file(sec_pki_common.c), line(1882) msg(SEC_PKI_checkKeyids:akid and skid mismatch )
2026-04-30 10:02:00.932212 security ERROR: cert_update.c(30): [certificate update] file(sec_pki_retrive_store.c), line(399) msg(SEC_PKI_hdlFailureGetIssuerPos:No issuer found )
2026-04-30 10:02:00.932269 security ERROR: cert_update.c(30): [certificate update] file(sec_pki_retrive_store.c), line(555) msg(SEC_PKI_GetChain_to_TopNode_Cert:No matching certificate chain found )
2026-04-30 10:02:02.284125 security ERROR: ssl_hook.c(288): [certificate update] connect failed err(error:0A000086:SSL routines::certificate verify failed), err_result(18)
2026-04-30 10:02:02.284297 security ERROR: cert_update.c(30): [certificate update] file(ipsi_cmp_http_callback.c), line(481) msg(IPSI_CMP_httpOnErrorReport:Error occurred on application id 4 with request id 1 )
2026-04-30 10:02:02.285120 security ERROR: cert_update.c(30): [certificate update] file(ipsi_cmp_ctximpl_msg.c), line(1760) msg(IPSI_CMP_recvResponseVal:Receiving the response failed )
2026-04-30 10:02:02.285191 security ERROR: cert_update.c(1331): [certificate update] sent pkcs10 request failed, ret(-1).
2026-04-30 10:02:02.285213 security ERROR: cert_update.c(1416): [certificate update] get cert from ca server failed.
2026-04-30 10:02:02.293486 certificate ERROR: certificate_renew.lua(130): [certificate update] prepare new cert failed, ret = -1
2026-04-30 10:02:02.294696 certificate WARNING: init.lua(97): nil:78 > operation_logger.lua:-1 > certificate_renew.lua:145: The certificate update failed.
2026-04-30 10:02:02.295153 certificate ERROR: operation_logger.lua(85): Renew: CertUpdateFailed

这是为什么呀？闭源的看不了为啥报错

环境信息

openUBMC 2512 LTS SP1

重现步骤

1. [第一步]

2. [第二步]

3. [第三步]

期望结果

[您希望实现什么]

实际结果

[实际发生了什么，包含错误信息]

尝试过的解决方案

[列出您已经尝试过的解决方案及结果]

分析结论

[详细总结您对此问题的分析结论]

答案内容由AI生成，仅供参考：

解决方案

方案一：确保CA证书已正确导入（首要步骤）

1. 确认CA服务器证书已导入BMC

   • 登录BMC Web界面
   • 进入 用户&安全 → 证书管理 → CA证书管理
   • 确保用于签署SSL证书的CA根证书（例如openUBMC-Root-CA）已成功导入
   • 如果未导入，请先通过"导入CA证书"功能上传正确的CA证书

2. 验证证书链完整性

   • 确保导入的CA证书是完整的信任链起点
   • 参考知识库中XCA工具创建openUBMC-Root-CA自签名CA证书的做法

方案二：检查网络与服务器可达性

1. 验证BMC能访问CA服务器：

   # 在BMC上执行ping测试
   ping 10.1.17.74
   
   # 检查端口连通性
   telnet 10.1.17.74 5443
   

2. 确认URL路径正确：

   • 服务器地址：10.1.17.74
   • 端口：5443
   • 路径：/api/csr/sign/pem（需确认CA服务实际监听路径）

方案三：检查证书主题配置

• 在"证书主题"配置中：
  • 国家(C) 已正确设置为 CN
  • 常用名(CN) 设置为 Server
• 建议补充完整其他字段（省份、城市、公司、部门）以提高兼容性

方案四：时间同步检查

• 确保BMC系统时间准确
• 错误的时间会导致证书有效期验证失败
• 通过如下命令设置时间：

  date -s "2026-04-30 10:00:00"
  

方案五：调试与日志收集

1. 查看完整日志文件：

   tail -f /var/log/app.log | grep certificate
   

2. 使用CLI工具辅助诊断：

   • 尝试使用ipmcget/ipmcset命令行工具进行证书操作
   • 参考知识库中提到的ipmcset -t certificate -d import命令模式

security ERROR: cert_update.c(30): [certificate update] file(x509_extn.c), line(1690) msg(Invalid argument)
security ERROR: cert_update.c(30): [certificate update] file(pkcs10.c), line(1093) msg(Invalid attribute)
security ERROR: cert_update.c(30): [certificate update] file(sec_pki_common.c), line(1882) msg(SEC_PKI_checkKeyids:akid and skid mismatch)
security ERROR: cert_update.c(30): [certificate update] file(sec_pki_retrive_store.c), line(399) msg(SEC_PKI_hdlFailureGetIssuerPos:No issuer found)
security ERROR: cert_update.c(30): [certificate update] file(sec_pki_retrive_store.c), line(555) msg(SEC_PKI_GetChain_to_TopNode_Cert:No matching certificate chain found)
security ERROR: ssl_hook.c(288): [certificate update] connect failed err(error:0A000086:SSL routines::certificate verify failed), err_result(18)
security ERROR: cert_update.c(1331): [certificate update] sent pkcs10 request failed, ret(-1)
security ERROR: cert_update.c(1416): [certificate update] get cert from ca server failed
certificate ERROR: certificate_renew.lua(130): [certificate update] prepare new cert failed, ret = -1

test

注意日志里的报错

No issuer found
No matching certificate chain found

原因是 导入到BMC的SSL 证书 不是 有 CA服务里的 CA根证书签发的。

你知道这个CA服务器怎么搭建不，社区有相关的服务器搭建指导吗

当前没有。 可以在百度搜索 或者 问下 AI。

我在尝试自己写一个ca服务器来验证这个功能，但是好像响应要按照固定的格式，这个有指导吗？就是应该怎么返回

CA 服务器 需要支持CMPv2协议 的PKI 签名系统。

PKI签名系统可以 参考 PKI 实践指南：构建完整的签名中心服务系统 x openUBMC hpm包签名实践

我使用ejbca搭建了一个ca服务器，但是还是报错了：
2026-05-14 03:55:56.505427 security ERROR: cert_update.c(30): [certificate update] file(asn-any.c), line(836) msg(Invalid OID )
2026-05-14 03:55:56.505539 security ERROR: cert_update.c(30): [certificate update] file(pem.c), line(894) msg(Decode failed )
2026-05-14 03:55:56.505643 security ERROR: cert_update.c(30): [certificate update] file(sec_pki_common.c), line(858) msg(SEC_PKI_decodeCertFromBuf: Decode certificate from buffer failed )
2026-05-14 03:55:56.505687 security ERROR: cert_update.c(30): [certificate update] file(sec_pki_common.c), line(895) msg(SEC_PKI_getExtndCertFromBuffer : Certificate decode failed )
2026-05-14 03:55:56.505739 security ERROR: cert_update.c(30): [certificate update] file(sec_pki_store.c), line(1904) msg(SEC_PKI_loadToTrustStore : Get extended cert list failed )
2026-05-14 03:55:56.505792 security ERROR: cert_update.c(30): [certificate update] file(sec_pki_ctx_cert.c), line(3086) msg(SEC_PKI_ctxLoadTrustCACertificateFile : Load CA certificate to trust store failed )
2026-05-14 03:55:56.505824 security ERROR: cert_update.c(1226): [certificate update] load CA cert failed, result(-1)
2026-05-14 03:55:56.506059 security ERROR: cert_update.c(1377): [certificate update] generate pki context failed.
2026-05-14 03:55:56.511518 certificate ERROR: certificate_renew.lua(130): [certificate update] prepare new cert failed, ret = -1
2026-05-14 03:55:56.512021 certificate WARNING: init.lua(97): nil:78 > operation_logger.lua:-1 > certificate_renew.lua:145: The certificate update failed.
2026-05-14 03:55:56.512399 certificate ERROR: operation_logger.lua(85): Renew: CertUpdateFailed
2026-05-14 03:55:56.515146 web_backend NOTICE: base.lua(518): processing_flow_1 foreach_1 timeout,[path=/bmc/kepler/Managers/1/NetworkProtocol/HTTPS/Certificates, interface=bmc.kepler.CertificateService.Renew], t1=1778730956158, t2=1778730956514, time=356
2026-05-14 03:55:58.025830 bmc_core ERROR: net_socket.c(158): RA packet too short, len=32

image1318×845 22.7 KB

2026-05-14 09:53:21.329080 security ERROR: cert_update.c(30): [certificate update] file(pkcs10.c), line(1093) msg(Invalid attribute )
2026-05-14 09:53:21.330829 security ERROR: cert_update.c(30): [certificate update] file(sec_pki_common.c), line(1882) msg(SEC_PKI_checkKeyids:akid and skid mismatch )
2026-05-14 09:53:21.977073 general_hardware NOTICE: fructl_handler.lua(76): get_power_state: system[1] get power power ON
2026-05-14 09:53:24.709811 security ERROR: cert_update.c(30): [certificate update] file(ipsi_cmp_ctximpl_msg.c), line(1878) msg(IPSI_CMP_recvResponse:Decoding the response message failed )
2026-05-14 09:53:24.709936 security ERROR: cert_update.c(1331): [certificate update] sent pkcs10 request failed, ret(-1).
2026-05-14 09:53:24.709966 security ERROR: cert_update.c(1416): [certificate update] get cert from ca server failed.
2026-05-14 09:53:24.721345 certificate ERROR: certificate_renew.lua(130): [certificate update] prepare new cert failed, ret = -1
2026-05-14 09:53:24.722862 certificate WARNING: init.lua(97): nil:78 > operation_logger.lua:-1 > certificate_renew.lua:145: The certificate update failed.
2026-05-14 09:53:24.724256 certificate ERROR: operation_logger.lua(85): Renew: CertUpdateFailed

这个akid和skid不匹配是啥报错呀？是我返回的响应不对吗？

参考 X509_V_ERR_AKID_SKID_MISMATCH 的报错。