Article Number: 000221202
对 OpenManage Enterprise 迁移所需的证书链问题进行故障处理
Summary: 在证书链上传期间以及连接验证阶段,OpenManage Enterprise 管理员可能会遇到若干个错误(CGEN1008 和 CSEC9002)。以下是一本指南,如果 OpenManage Enterprise 管理员在迁移过程的这个阶段遇到错误,那么它将会有所帮助。
Article Content
Instructions
设备迁移过程利用双向 TLS (mTLS)。在默认不信任任何内容的零信任安全框架中,会使用这种类型的相互身份验证。
在典型的 TLS 交换中,服务器持有 TLS 证书以及公钥和私钥对。客户端会验证服务器证书,然后继续通过加密会话交换信息。借助 mTLS,客户端和服务器先验证证书,然后才开始交换任何数据。
在继续迁移操作之前,任何使用第三方签名证书的 OpenManage Enterprise 设备都需要上传证书链。证书链是包含 SSL/TLS 证书和证书颁发机构 (CA) 证书的有序证书列表。该链以独立证书开始,后跟证书链中下一个证书所标识的实体签名的证书。
获取完整证书链后,OpenManage Enterprise 管理员必须通过 Web UI(“Application Settings”->“Security”->“Certificates”)上传该链。
如果证书不符合要求,Web UI 会显示以下错误之一:
验证连接时将检查以下项目:
在典型的 TLS 交换中,服务器持有 TLS 证书以及公钥和私钥对。客户端会验证服务器证书,然后继续通过加密会话交换信息。借助 mTLS,客户端和服务器先验证证书,然后才开始交换任何数据。
在继续迁移操作之前,任何使用第三方签名证书的 OpenManage Enterprise 设备都需要上传证书链。证书链是包含 SSL/TLS 证书和证书颁发机构 (CA) 证书的有序证书列表。该链以独立证书开始,后跟证书链中下一个证书所标识的实体签名的证书。
- 证书 = CA 签名证书(独立)
- 证书链 = CA 签名证书 + 中间 CA 证书(如果有)+ 根 CA 证书
针对迁移的证书链要求
- 证书签名请求密钥匹配 - 在证书上传过程中,将检查证书签名请求 (CSR) 密钥。OpenManage Enterprise 仅支持上传该设备使用证书签名请求 (CSR) 所请求的证书。此验证检查在单个服务器证书和证书链的上传期间执行。
- 证书编码 - 证书文件要求使用 Base 64 编码。确保在保存从证书颁发机构导出的证书时使用 Base 64 编码,否则证书文件将被视为无效。
- 验证证书的增强型密钥使用 - 检查以确保为服务器身份验证和客户端身份验证启用了密钥使用。这是因为迁移是源和目标之间的双向通信,其中任何一方都可以在信息交换期间充当服务器和客户端。对于单个服务器证书,只需要服务器身份验证。
- 为证书启用了密钥加密 - 用于生成证书的证书模板必须包括密钥加密。这可确保证书中的密钥可用于加密通信。
- 包含根证书的证书链 - 证书包含完整的证书链,其内含有根证书。源和目标需要这样做,以确保两者都是可信的。根证书将会添加到每个设备的可信根存储中。重要提示:OpenManage Enterprise 在证书链中最多支持 10 个叶证书。
- 颁发对象和颁发机构 - 根证书被用作信任锚,然后根据该信任锚验证链中的所有证书。确保证书链包含根证书。
| 颁发对象 | 颁发机构 |
| OMENT(设备) | Inter-CA1 |
| Inter-CA1 | Root-CA |
| Root-CA | Root-CA |
证书链上传操作
获取完整证书链后,OpenManage Enterprise 管理员必须通过 Web UI(“Application Settings”->“Security”->“Certificates”)上传该链。
如果证书不符合要求,Web UI 会显示以下错误之一:
- CGEN1008 - Unable to process the request because an error occurred
- CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
CGEN1008 - Unable to process the request because an error occurred.
CGEN1008 - Unable to process the request because an error occurred. Retry the operation. If the issue persists, contact your system administrator.
如果满足以下任何错误条件,则会显示 CGEN1008 错误:
- 证书链的 CSR 密钥无效
- 确保通过 OpenManage Enterprise Web UI 使用 CSR 生成证书。OpenManage Enterprise 不支持从同一设备上传不是使用 CSR 生成的证书。
- 位于控制台日志包中的 tomcat 应用程序日志中显示以下错误:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 证书链无效
- 证书中必须包含根证书和所有中间证书颁发机构的证书。
- 位于控制台日志包中的 tomcat 应用程序日志中显示以下错误:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 在叶证书中找不到通用名称 - 所有证书都必须包含通用名称,并且不包含任何通配符 (*)。
提醒:OpenManage Enterprise 不支持通配符 (*) 证书。在可分辨名称中使用通配符 (*) 从 Web UI 生成 CSR 会产生以下错误:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- 叶证书中不存在客户端和服务器身份验证扩展密钥使用 (EKU)
- 该证书必须包括服务器和客户端身份验证,以便使用扩展密钥。
- 位于控制台日志包中的 tomcat 应用程序日志中显示以下错误:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 查看证书详细信息,了解增强型密钥使用。如果任何一项缺失,请确保为两者启用用于生成证书的模板。
- 使用密钥时缺少密钥加密
- 要上传的证书必须列出密钥加密,以便在使用密钥时采用这些密钥加密。
- 位于控制台日志包中的 tomcat 应用程序日志中显示以下错误:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 查看证书详细信息,了解密钥使用。确保用于生成证书的模板已启用密钥加密。
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid. Make sure the CA certificate and private key are correct and retry the operation.
如果满足以下任何错误条件,则会显示 CSEC9002 错误:
- 服务器证书缺少密钥加密
- 确保用于生成证书的模板已启用密钥加密。利用证书进行迁移时,请确保上传完整的证书链,而不是上传单个服务器证书。
- 位于控制台日志包中的 tomcat 应用程序日志中显示以下错误:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- 证书文件包含错误的编码
- 确保使用 Base 64 编码保存证书文件。
- 位于控制台日志包中的 tomcat 应用程序日志中显示以下错误:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
迁移连接验证操作
成功上传证书链后,迁移过程可以继续执行下一步,即,在源控制台与目标控制台之间建立连接。在此步骤中,OpenManage Enterprise 管理员提供源控制台与目标控制台的 IP 地址和本地管理员凭据。验证连接时将检查以下项目:
- 颁发对象和颁发机构 - 在源证书与目标证书之间的证书链中,证书颁发机构的名称具有相同的“颁发对象”和“颁发机构”。如果这些名称不匹配,则源或目标无法验证证书是否由相同的签名颁发机构颁发。这对于遵守零信任安全框架至关重要。
| 源证书 | 目标证书 | |||
| 颁发对象 | 颁发机构 | 颁发对象 | 颁发机构 | |
| OMENT-310(源) | Inter-CA1 | <-> | OMENT-400(目标) | Inter-CA1 |
| Inter-CA1 | Root-CA | <-> | Inter-CA1 | Root-CA |
| Root-CA | Root-CA | <-> | Root-CA | Root-CA |
| 源证书 | 目标证书 | |||
|---|---|---|---|---|
| 颁发对象 | 颁发机构 | 颁发对象 | 颁发机构 | |
| OMENT-310(源) | Inter-CA1 | X | OMENT-400(目标) | Inter-CA2 |
| Inter-CA1 | Root-CA | X | Inter-CA2 | Root-CA |
| Root-CA | Root-CA | <-> | Root-CA | Root-CA |
- 有效期 - 使用设备的日期和时间检查证书有效期。
- 最大深度 - 验证证书链是否不超过 10 个叶证书的最大深度。
Unable to mutually authenticate and connect to the remote appliance. Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
绕过证书链要求
如果在上传所需的证书链时继续出现问题,那么目前有一种受支持的方法可用于利用自签名证书。 按照以下文章所述,继续利用备份和还原功能: https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur
Article Properties
Affected Product
Dell EMC OpenManage Enterprise
Last Published Date
11 Jun 2024
Version
4
Article Type
How To