Odstraňování problémů s řetězcem certifikátů vyžadovaných pro migraci OpenManage Enterprise

• Certifikát = certifikát podepsaný certifikační autoritou (samostatný)
• Řetězec certifikátů = certifikát podepsaný certifikační autoritou + certifikát zprostředkující certifikační autority (pokud je použit) + certifikát kořenové certifikační autority

Požadavky na řetězec certifikátů pro migraci 

1. Shoda klíče žádosti o podpis certifikátu – Během nahrávání certifikátu se zkontroluje klíč žádosti o podpis certifikátu (CSR). Nástroj OpenManage Enterprise podporuje pouze nahrávání certifikátů, které si zařízení vyžádá pomocí žádosti o podpis certifikátu (CSR). Tato kontrola se provádí během nahrávání jednoho certifikátu serveru i řetězce certifikátů.
2. Kódování certifikátu – Soubor certifikátu vyžaduje kódování Base 64. Při ukládání exportovaného certifikátu od certifikační autority se ujistěte, že je použito kódování Base 64, jinak bude soubor certifikátu považován za neplatný.
3. Ověřte rozšířené použití klíče certifikátu – zkontrolujte, zda je použití klíče povoleno pro ověřování serveru i klienta. To je potřeba proto, že migrace je obousměrná komunikace mezi zdrojem a cílem, kde oba mohou během výměny informací fungovat jako server a klient. U certifikátů jednotlivých serverů je vyžadováno pouze ověření serveru.
4. Certifikát je povolen pro šifrování klíčů – Šablona certifikátu použitá k vygenerování certifikátu musí obsahovat šifrování klíče. Tím je zajištěno, že klíče v certifikátu lze použít k šifrování komunikace.
5. Řetězec certifikátů s kořenovým certifikátem – Certifikát obsahuje úplný řetěz, který zahrnuje kořenový certifikát. To je vyžadováno pro zdroj a cíl, aby se zajistila jejich důvěryhodnost. Kořenový certifikát se přidá do důvěryhodného kořenového úložiště každého zařízení. DŮLEŽITÉ: Nástroj OpenManage Enterprise podporuje v řetězci certifikátů nejvýše 10 certifikátů leaf.
6. Příjemce a vydavatel – Kořenový certifikát se používá jako kotva důvěryhodnosti, která se pak použije k ověření všech certifikátů v řetězci. Ujistěte se, že řetězec certifikátů obsahuje kořenový certifikát.

Operace nahrání řetězce certifikátů

• CGEN1008 – Unable to process the request because an error occurred
• CSEC9002 – Unable to upload the certificate because the certificate file provided is invalid.

CGEN1008 – Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

• Neplatný klíč CSR pro řetězec certifikátů
  • Zkontrolujte, zda byl certifikát vygenerován pomocí žádosti CSR z webového uživatelského rozhraní OpenManage Enterprise. Nástroj OpenManage Enterprise nepodporuje nahrání certifikátu, který nebyl vygenerován pomocí žádosti CSR ze stejného zařízení.
  • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Neplatný řetězec certifikátů
  • V certifikátu musí být obsaženy kořenové certifikáty a certifikáty všech zprostředkujících certifikačních autorit.
  • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• V certifikátu leaf nebyl nalezen žádný běžný název – všechny certifikáty musí obsahovat běžné názvy a nesmí obsahovat zástupné znaky (*).

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• V certifikátu leaf není k dispozici rozšířené použití klíče (EKU) pro ověření klientů a serverů
  • Rozšířené využití klíče vyžaduje, aby certifikát obsahoval ověření serveru i klienta.
  • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Zkontrolujte podrobnosti certifikátu pro rozšířené použití klíče. Pokud něco chybí, ujistěte se, že šablona použitá k vygenerování certifikátu je povolena pro obě strany.

 

• Chybí šifrování klíče pro použití klíče
  • Nahrávaný certifikát musí mít uvedeno šifrování klíče pro používání klíče.
  • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Zkontrolujte podrobnosti certifikátu pro použití klíče. Ujistěte se, že šablona použitá k vygenerování certifikátu má povolené šifrování klíče.

 
 

CSEC9002 – Unable to upload the certificate because the certificate file provided is invalid.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.

• Certifikát serveru postrádá šifrování klíče
  • Ujistěte se, že šablona použitá k vygenerování certifikátu má povolené šifrování klíče. Při využití certifikátu k migraci se ujistěte, že je nahrán celý řetězec certifikátů, nikoli pouze jeden certifikát serveru.
  • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• Soubor certifikátu obsahuje nesprávné kódování
  • Ujistěte se, že soubor certifikátu byl uložen s kódováním Base 64.
  • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operace ověření připojení migrace

• Příjemce a vydavatel – Názvy certifikačních autorit v řetězci mezi jednotlivými zdrojovými a cílovými certifikáty musí mít stejné hodnoty „Issued to“ a „Issued by“. Pokud se tyto názvy neshodují, zdroj nebo cíl nemůže ověřit, zda certifikáty vystavily stejné podepisující autority. To je zásadní pro dodržování architektury zabezpečení Zero-Trust.

• Doba platnosti – Zkontroluje dobu platnosti certifikátu s datem a časem zařízení.
• Maximální hloubka – Ověří, že řetězec certifikátů nepřekračuje maximální hloubku 10 certifikátů leaf.

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

Obejití požadavku na řetězec certifikátů

Pokud problémy s nahráním požadovaného řetězce certifikátů přetrvávají, je k dispozici podporovaná metoda, pomocí které lze použít certifikát podepsaný držitelem.

Pokračujte použitím funkce zálohování a obnovení, jak je uvedeno v následujícím článku:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur