Routinator无法拉取TA信任锚点ROA问题

于 2025-06-16 15:47:42 发布
阅读量304 收藏 4
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 网络与安全 文章标签: RPKI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/if_Echo_else/article/details/148693363

Routinator无法拉取TA信任锚点ROA问题

告警提示:

rsync://rpki.qcl.edu.cn/repo/9CA5C246A75F3DF1C3C0073DE3BF254938A9B411.mft: certificate has expired.
[WARN] https://rpki.qcl.edu.cn/ta/ta.cer: no valid manifest rsync://rpki.qcl.edu.cn/repo/9CA5C246A75F3DF1C3C0073DE3BF254938A9B411.mft found.

这条警告表明,尝试从 rsync://rpki.qcl.edu.cn/repo/ 获取一个 .mft 文件(这是一个 RPKI 清单文件),但这个文件的证书已经过期,无法验证其有效性。证书过期意味着你的 Krill 服务器或验证器无法信任该文件来源。

krillc pubserver server stats --format json #通过该命令查看发布服务状态以及证书时间

"ta": {
      "objects": 4,
      "size": 5127,
      "manifests": [
        {
          "uri": "rsync://rpki.qcl.edu.cn/repo/9CA5C246A75F3DF1C3C0073DE3BF254938A9B411.mft",
          "this_update": "2025-02-14T06:49:26Z",
          "next_update": "2025-05-09T06:54:26Z"
        }
      ]
    },

如果过期可以手动通过ta proxy重新向ta signer 提出ta代理请求,重新生成证书文件以及mft清单

2249 krillta proxy signer make-request
2250 krillta proxy signer show-request --format json > ./request.json
2251 krillta signer process --request ./request.json
2252 krillta signer last > ./response.json
2253 krillta proxy signer process-response --response ./response.json

进入目录/var/lib/krill/data/repo/rsync/current后可以看到新生成的cer及mft文件,再次使用routinator即可拉取roa成功。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值