排查外部密钥保管库故障
- Updated: 2025/09/01
您可以使用 keyvault.properties 文件和应用程序日志文件,以查看外部密钥保管库的配置和集成信息。
使用 keyvault.properties 文件
您可以使用 keyvault.properties 文件来查看这些外部密钥保管库的配置属性:
- CyberArk 密码保管库
- AWS Secrets Manager
- Azure 密钥保管库
- HashiCorp Vault
以下 keyvault.properties 文件展示了与 CyberArk 密码保管库的示例:
要查看 AWS Secrets Manager keyvault.properties 文件,请输入这些 AWS 属性(例如):
- keyvault.type=AWS_SECRETS_MANAGER
- keyvault.aws.region=us-east-1
注:
- 证书密码属性包含加密的 Control Room 证书文件密码。 不要 直接修改证书密码短语属性;相反,您应该使用密钥保管库工具。
- 您可以修改 keyvault.properties 文件。 然而,任何修改都需要重新启动服务。 因此,我们建议您始终使用密钥保管库工具进行修改。
对于HashiCorp Vault,保管库服务器使用 HashiCorp 配置语言 (HCL) 或 JSON 格式的文件进行配置。 有关使用该文件的信息,请参阅 Vault Configuration。
使用应用程序日志文件
您可以使用这些应用程序日志文件来查看外部密钥保管库的集成信息:
- WebCR_CredentialVaultlog
- WebCR_RestException
您可以使用这些日志消息来排查外部密钥保管库的集成或配置问题:
| 日志消息描述 | 原因或理由 |
|---|---|
| 无法发送电子邮件 由于您的 SMTP 用户名或密码不正确,无法连接到 SMTP 服务器 |
检索到的 SMTP 凭据不正确。 |
| 日志显示连接到 LDAP 失败 | 通过 Active Directory 身份验证失败。 |
| WebCR.log 文件显示数据库连接错误,Control Room 无法正常启动 | 检索到的数据库密码不正确。 |
| 您的用户名或密码不正确 | 检索到的自动登录凭据对用户无效(与用户 ID 的 机器人 部署日志相关)。 |
| 日志显示与 CyberArk 的连接失败 | 如果在正常运行(3、6 或 12)个月后出现故障,则可能存在证书过期问题。 |
| 无法检索密钥,详细异常将包含原因 | 正在使用的凭据标识符(保险库名称、对象名称或密钥名称)不存在。 这也可能表明凭据标识符已从外部密钥保管库中移除(如果之前运行正常)。 |
| 这也可能表明密钥保管库连接已断开或无法访问。 或者,连接详细信息(API URL、AppID、证书、区域名称、AWS 密钥)不正确,已在密钥保管库中更改,或已过期。 |