OpenManage Enterprise Geçişi için Gerekli Sertifika Zinciri Sorunlarını Giderme

• Sertifika = CA imzalı sertifika (bağımsız)
• Sertifika Zinciri = CA imzalı sertifika + ara CA sertifikası (varsa) + kök CA sertifikası

Geçiş için Sertifika Zinciri Gereksinimleri 

1. Sertifika İmzalama İsteği anahtar eşleşmeleri: Sertifika yükleme sırasında Sertifika İmzalama İsteği (CSR) anahtarı kontrol edilir. OpenManage Enterprise, yalnızca bu cihaz tarafından İmzalı Sertifika İsteği (CSR) kullanılarak talep edilen sertifikaların yüklenmesini destekler. Bu doğrulama kontrolü, hem tek bir sunucu sertifikası hem de sertifika zinciri için yükleme sırasında gerçekleştirilir.
2. Sertifika kodlaması: Sertifika dosyası için Base 64 kodlaması gerekir. Dışa aktarılan sertifikayı sertifika yetkilisinden kaydederken Base 64 kodlamasının kullanıldığından emin olun, aksi takdirde sertifika dosyası geçersiz sayılır.
3. Sertifika geliştirilmiş anahtar kullanımını doğrulama: Anahtar kullanımının hem Sunucu Kimlik Doğrulaması hem de İstemci Kimlik Doğrulaması için etkinleştirildiğinden emin olun. Bunun nedeni, geçişin hem kaynak hem de hedef arasında iki yönlü bir iletişim olması ve bilgi alışverişi sırasında her ikisinin de sunucu ve istemci olarak hareket edebilmesidir. Tek sunucu sertifikaları için yalnızca sunucu kimlik doğrulaması gereklidir.
4. Sertifika, anahtar şifreleme için etkinleştirildi: Sertifikayı oluşturmak için kullanılan sertifika şablonu anahtar şifrelemeyi içermelidir. Bu, sertifikadaki anahtarların iletişimi şifrelemek için kullanılabilmesini sağlar.
5. Kök sertifikalı Sertifika Zinciri: Sertifika, kök sertifika bulunan tam zinciri içerir. Kaynak ve hedefte her ikisine de güvenilebilmesini sağlamak için bu gereklidir. Kök sertifika, her cihazın güvenilir kök depolamasına eklenir. ÖNEMLİ: OpenManage Enterprise, sertifika zinciri içinde en fazla 10 yaprak sertifikayı destekler.
6. Alıcı ve düzenleyen: Kök sertifika güven dayanağı olarak kullanılır ve daha sonra zincirdeki tüm sertifikaları bu güven dayanağına göre doğrulamak için kullanılır. Sertifika zincirinin kök sertifikayı içerdiğinden emin olun.

Sertifika Zinciri Yükleme İşlemi

• CGEN1008: Bir hata oluştuğu için istek işlenemiyor
• CSEC9002: Sağlanan sertifika dosyası geçersiz olduğundan sertifika yüklenemiyor.

CGEN1008: Bir hata oluştuğu için istek işlenemiyor.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

• Sertifika zinciri için geçersiz CSR anahtarı
  • Sertifikanın, OpenManage Enterprise web kullanıcı arayüzündeki CSR kullanılarak oluşturulduğundan emin olun. OpenManage Enterprise, CSR kullanılarak oluşturulmamış bir sertifikanın aynı cihazdan yüklenmesini desteklemez.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Geçersiz sertifika zinciri
  • Kök ve tüm ara sertifika yetkililerinin sertifikaları sertifikaya dahil edilmelidir.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Yaprak sertifikada Ortak Ad bulunamadı: Tüm sertifikalar ortak adları içermeli ve herhangi bir joker karakter (*) içermemelidir.

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• Yaprak sertifikada İstemci ve Sunucu Kimlik Doğrulama Genişletilmiş Anahtar Kullanımı (EKU) yok
  • Genişletilmiş anahtar kullanımı için sertifika hem Sunucu hem de İstemci kimlik doğrulamasını içermelidir.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Gelişmiş anahtar kullanımı için sertifika ayrıntılarını inceleyin. İkisi de eksikse sertifikayı oluşturmak için kullanılan şablonun ikisi için de etkinleştirildiğinden emin olun.

 

• Anahtar kullanımı için eksik anahtar şifrelemesi
  • Yüklenen sertifika, anahtar kullanımı için listelenen anahtar şifrelemesine sahip olmalıdır.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Anahtar kullanımı için sertifika ayrıntılarını inceleyin. Sertifikayı oluşturmak için kullanılan şablonda anahtar şifrelemenin etkin olduğundan emin olun.

 
 

CSEC9002: Sağlanan sertifika dosyası geçersiz olduğundan sertifika yüklenemiyor.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.

• Sunucu sertifikası eksik anahtar şifrelemesi
  • Sertifikayı oluşturmak için kullanılan şablonda anahtar şifrelemenin etkin olduğundan emin olun. Geçiş için bir sertifikadan yararlanırken tek bir sunucu sertifikası yerine tam sertifika zincirinin yüklendiğinden emin olun.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• Sertifika dosyası yanlış kodlama içeriyor
  • Sertifika dosyasının Base 64 kodlaması kullanılarak kaydedildiğinden emin olun.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Geçiş Bağlantısı Doğrulama İşlemi

• Alıcı ve düzenleyen: Kaynak ve hedef sertifikalar arasındaki zincirde yer alan sertifika yetkilileri aynı "alıcı" ve "düzenleyen" adlarına sahiptir. Bu adlar eşleşmezse kaynak veya hedef, sertifikaların aynı imza yetkilileri tarafından verildiğini doğrulayamaz. Bu, Sıfır Güven güvenlik çerçevesine bağlı kalmak için çok önemlidir.

• Geçerlilik süresi: Sertifika geçerlilik süresini cihazın tarih ve saatiyle birlikte kontrol eder.
• Maksimum derinlik: Sertifika zincirinin maksimum 10 yaprak sertifika derinliğini aşmadığını doğrular.

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

Sertifika Zinciri Gerekliliğini Atlama

Gerekli sertifika zincirinin yüklenmesiyle ilgili sorunlar devam ederse kendinden imzalı sertifikadan yararlanmak için kullanılabilecek ve desteklenen bir yöntem mevcuttur.

Aşağıdaki makalede belirtildiği gibi yedekleme ve geri yükleme özelliğinden yararlanmaya devam edin:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur