Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Risoluzione dei problemi della catena di certificati necessaria per la migrazione a OpenManage Enterprise

Summary: Gli amministratori di OpenManage Enterprise possono incorrere in diversi errori durante la fase di upload della catena di certificati (CGEN1008 e CSEC9002) e di verifica della connessione. Di seguito è riportata una guida di supporto agli amministratori di OpenManage Enterprise nel caso in cui si imbattano in errori durante questa fase del processo di migrazione. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Il processo di migrazione dell'appliance sfrutta l'autenticazione mutual TLS (mTLS). Questo tipo di autenticazione reciproca viene utilizzato all'interno di un framework di sicurezza Zero Trust in cui nulla si considera affidabile per impostazione predefinita.
 
In un tipico scambio TLS, il server contiene il certificato TLS e la coppia di chiavi pubblica e privata. Il client verifica il certificato del server e quindi procede con lo scambio di informazioni in una sessione crittografata. Con mTLS, sia il client che il server verificano il certificato prima di iniziare a scambiare dati.
Diagramma di comunicazione client e server mTLS 
Qualsiasi appliance OpenManage Enterprise che utilizza un certificato firmato da terze parti deve eseguire l'upload della catena di certificati prima di procedere con un'operazione di migrazione. Una catena di certificati è un elenco ordinato di certificati contenenti un certificato SSL/TLS e un certificato della CA. La catena inizia con il certificato standalone seguito dai certificati firmati dall'entità identificata nel certificato successivo della catena.
  • Certificato = certificato firmato dalla CA (standalone)
  • Catena di certificati = certificato firmato dalla CA + certificato CA intermedio (se presente) + certificato CA radice
La catena di certificati deve soddisfare i seguenti requisiti; in caso contrario, l'amministratore visualizza errori.
 

Requisiti della catena di certificati per la migrazione 

  1. Corrispondenza della chiave della richiesta di firma del certificato: durante l'upload del certificato, la chiave CSR (richiesta di firma del certificato) è selezionata. OpenManage Enterprise supporta solo l'upload dei certificati richiesti utilizzando la CSR dall'appliance. Questo controllo di convalida viene eseguito durante un upload sia per un singolo certificato server che per una catena di certificati.
  2. Codifica del certificato: il file di certificato richiede la codifica Base 64. Quando si salva il certificato esportato dalla CA, assicurarsi che venga utilizzata la codifica Base 64; in caso contrario, il file di certificato viene considerato non valido.
  3. Convalida del criterio EKU (Enhanced Key Usage) del certificato: verificare che il criterio EKU sia abilitato sia per l'autenticazione server che per l'autenticazione client. Ciò è dovuto al fatto che la migrazione è una comunicazione bidirezionale tra l'origine e la destinazione, in cui entrambe possono fungere da server e client durante lo scambio di informazioni. Per i certificati server singoli, è richiesta solo l'autenticazione server.
  4. Il certificato è abilitato per la crittografia delle chiavi: il modello di certificato utilizzato per generare il certificato deve includere la crittografia delle chiavi. In questo modo, le chiavi nel certificato possono essere utilizzate per crittografare la comunicazione.
  5. Catena di certificati con certificato radice: il certificato contiene la catena completa che include il certificato radice. Questa operazione è necessaria per l'origine e la destinazione per garantire che entrambe possano essere considerate affidabili. Il certificato radice viene aggiunto all'archivio radice attendibile di ogni appliance. IMPORTANTE: OpenManage Enterprise supporta un massimo di 10 certificati foglia all'interno della catena di certificati.
  6. Issued To e Issued By: il certificato radice viene utilizzato come trust anchor e quindi utilizzato per convalidare tutti i certificati nella catena rispetto a tale trust anchor. Assicurarsi che la catena di certificati includa il certificato radice.
Esempio di catena di certificati
Issued To Issued By
OMENT (appliance) Inter-CA1
Inter-CA1 CA radice
CA radice CA radice


Operazione di upload della catena di certificati

Una volta acquisita l'intera catena di certificati, l'amministratore di OpenManage Enterprise deve eseguirne l'upload tramite l'interfaccia utente web - "Application Settings -> Security - Certificates".
 
Se il certificato non soddisfa i requisiti, nell'interfaccia utente web viene visualizzato uno dei seguenti errori:
  • CGEN1008 - Unable to process the request because an error occurred
  • CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Le sezioni seguenti evidenziano gli errori, i trigger condizionali e come correggerli.

CGEN1008 - Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Certificate upload error CGEN1008 Unable to process the request because an error occurred 
L'errore CGEN1008 viene visualizzato se viene soddisfatta una delle seguenti condizioni di errore:
  • Chiave CSR non valida per la catena di certificati
    • Assicurarsi che il certificato sia stato generato utilizzando la CSR dall'interfaccia utente web di OpenManage Enterprise. OpenManage Enterprise non supporta l'upload di un certificato che non sia stato generato utilizzando la CSR dello stesso appliance.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registri della console:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Catena di certificati non valida
    • I certificati delle CA intermedie e radice devono essere inclusi nel certificato.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registri della console:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Nessun nome comune individuato nel certificato foglia: tutti i certificati devono includere i nomi comuni e non contenere caratteri jolly (*).
NOTA: OpenManage Enterprise non supporta i certificati con caratteri jolly (*). La generazione di una CSR dall'interfaccia utente web utilizzando un carattere jolly (*) nel nome distinto genera il seguente errore:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Errore di upload del certificato CGEN6002 Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered 
  • Nel certificato foglia non è presente alcun EKU (Extended Key Usage) per l'autenticazione client e server
    • Il certificato deve includere l'autenticazione server e client per il criterio EKU.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registri della console:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Esaminare i dettagli del certificato per il criterio EKU. Se una delle due non è presente, assicurarsi che il modello utilizzato per generare il certificato sia abilitato per entrambe.
Dettagli del certificato che mostrano il criterio EKU per l'autenticazione server e client 
  • Crittografia delle chiavi mancante per l'utilizzo delle chiavi
    • Il certificato sottoposto ad upload deve avere la crittografia delle chiavi elencata per l'utilizzo delle chiavi.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registri della console:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Esaminare i dettagli del certificato per l'utilizzo delle chiavi. Verificare che nel modello utilizzato per generare il certificato sia abilitata la crittografia delle chiavi.
Dettagli del certificato che mostrano l'utilizzo delle chiavi per la crittografia delle chiavi 
 

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Errore di upload del certificato CSEC9002 Unable to upload the certificate because the certificate file provided is invalid.
 
L'errore CSEC9002 viene visualizzato se viene soddisfatta una delle seguenti condizioni di errore: 
  • Crittografia delle chiavi mancante nel certificato del server
    • Verificare che nel modello utilizzato per generare il certificato sia abilitata la crittografia delle chiavi. Quando si utilizza un certificato per la migrazione, assicurarsi che venga eseguito l'upload dell'intera catena di certificati anziché il singolo certificato del server.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registri della console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Il file di certificato contiene una codifica errata
    • Accertarsi che il file di certificato sia stato salvato utilizzando la codifica Base 64.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registri della console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operazione di verifica della connessione di migrazione

Dopo aver eseguito correttamente l'upload della catena di certificati, il processo di migrazione può procedere con il passaggio successivo: stabilire la connessione tra le console di origine e di destinazione. In questo passaggio, l'amministratore di OpenManage Enterprise fornisce l'indirizzo IP e le credenziali di amministratore locale per le console di origine e di destinazione.
 
Durante la convalida della connessione vengono controllati i seguenti elementi:
  • Issued To e Issued By: i nomi delle CA nella catena tra i singoli certificati di origine e di destinazione hanno gli stessi valori di "Issued To" e "Issued By". Se questi nomi non corrispondono, l'origine o la destinazione non può verificare che le stesse autorità di firma abbiano emesso i certificati. Questo aspetto è fondamentale per aderire al framework di sicurezza Zero Trust.
Catena di certificati valida tra origine e destinazione
Certificato di origine     Certificato di destinazione  
Issued To Issued By   Issued To Issued By
OMENT-310 (origine) Inter-CA1 <-> OMENT-400 (destinazione) Inter-CA1
Inter-CA1 CA radice <-> Inter-CA1 CA radice
CA radice CA radice <-> CA radice CA radice
 
 
Catena di certificati non valida tra origine e destinazione
Certificato di origine     Certificato di destinazione  
Issued To Issued By   Issued To Issued By
OMENT-310 (origine) Inter-CA1 X rossa OMENT-400 (destinazione) Inter-CA2
Inter-CA1 CA radice X rossa Inter-CA2 CA radice
CA radice CA radice <-> CA radice CA radice
 
  • Validity period: controlla il periodo di validità del certificato con la data e l'ora dell'appliance.
  • Maximum depth: verificare che la catena di certificati non superi la profondità massima di 10 certificati foglia.
Se i certificati non soddisfano i requisiti di cui sopra, viene visualizzato il seguente errore quando si tenta di convalidare le connessioni della console:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Errore di convalida della connessione di migrazione: Unable to mutually authenticate and connect to remote appliance. 

Requisito di esclusione della catena di certificati

In caso di problemi continui durante l'upload della catena di certificati richiesta, è supportato un metodo che può essere utilizzato per sfruttare il certificato autofirmato.

Procedere con l'utilizzo della funzione di backup e ripristino come descritto nel seguente articolo:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Affected Products

Dell EMC OpenManage Enterprise
Article Properties
Article Number: 000221202
Article Type: How To
Last Modified: 11 يونيو 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.