Article Number: 000221202
OpenManage Enterprise 마이그레이션에 필요한 인증서 체인 문제 해결
Summary: OpenManage Enterprise 관리자는 인증서 체인 업로드(CGEN1008 및 CSEC9002) 및 연결 검증 단계에서 여러 오류에 직면할 수 있습니다. 다음은 마이그레이션 프로세스의 이 단계에서 오류가 발생할 경우 OpenManage Enterprise 관리자를 돕기 위한 가이드입니다.
Article Content
Instructions
어플라이언스 마이그레이션 프로세스는 mTLS(Mutual TLS)를 활용합니다. 이 유형의 상호 인증은 기본적으로 신뢰할 수 없는 제로 트러스트(Zero Trust) 보안 프레임워크 내에서 사용됩니다.
일반적인 TLS 교환 시 서버는 TLS 인증서와 공개 및 개인 키 쌍을 보유합니다. 클라이언트는 서버 인증서를 확인한 다음 암호화된 세션을 통해 정보 교환을 진행합니다. mTLS를 사용하면 클라이언트와 서버 모두 데이터 교환을 시작하기 전에 인증서를 확인합니다.
타사 서명 인증서를 활용하는 OpenManage Enterprise 어플라이언스는 마이그레이션 작업을 진행하기 전에 인증서 체인을 업로드해야 합니다. 인증서 체인은 SSL/TLS 인증서 및 CA(Certificate Authority) 인증서를 포함하는 순서가 지정된 인증서 목록입니다. 체인은 독립 실행형 인증서로 시작하여 체인의 다음 인증서에서 식별된 엔터티에 의해 서명된 인증서가 뒤에 나옵니다.
전체 인증서 체인을 획득한 후 OpenManage Enterprise 관리자는 웹 UI - 'Application Settings -> Security - Certificates'를 통해 체인을 업로드해야 합니다.
인증서가 요구 사항을 충족하지 않으면 다음 오류 중 하나가 웹 UI에 표시됩니다.
연결 검증 시 다음 항목이 확인됩니다.
일반적인 TLS 교환 시 서버는 TLS 인증서와 공개 및 개인 키 쌍을 보유합니다. 클라이언트는 서버 인증서를 확인한 다음 암호화된 세션을 통해 정보 교환을 진행합니다. mTLS를 사용하면 클라이언트와 서버 모두 데이터 교환을 시작하기 전에 인증서를 확인합니다.
타사 서명 인증서를 활용하는 OpenManage Enterprise 어플라이언스는 마이그레이션 작업을 진행하기 전에 인증서 체인을 업로드해야 합니다. 인증서 체인은 SSL/TLS 인증서 및 CA(Certificate Authority) 인증서를 포함하는 순서가 지정된 인증서 목록입니다. 체인은 독립 실행형 인증서로 시작하여 체인의 다음 인증서에서 식별된 엔터티에 의해 서명된 인증서가 뒤에 나옵니다.
- 인증서 = CA 서명 인증서(독립 실행형)
- 인증서 체인 = CA 서명 인증서 + 중간 CA 인증서(있는 경우) + 루트 CA 인증서
마이그레이션을 위한 인증서 체인 요구 사항
- 인증서 서명 요청 키 일치 - 인증서 업로드 중에 CSR(Certificate Signing Request) 키가 확인됩니다. OpenManage Enterprise는 해당 어플라이언스에서 CSR(Certificate Signed Request)을 사용하여 요청한 인증서만 업로드할 수 있습니다. 이 유효성 검사는 단일 서버 인증서 및 인증서 체인 모두에 대해 업로드하는 동안 수행됩니다.
- 인증서 인코딩 - 인증서 파일에는 Base 64 인코딩이 필요합니다. 인증 기관에서 내보낸 인증서를 저장할 때는 Base 64 인코딩을 사용해야 합니다. 그렇지 않으면 인증서 파일이 유효하지 않은 것으로 간주됩니다.
- 인증서의 향상된 키 사용 검증 - 서버 인증과 클라이언트 인증 모두에 대해 키 사용이 활성화되어 있는지 확인합니다. 마이그레이션은 정보 교환 중에 서버와 클라이언트 역할을 할 수 있는 소스와 타겟 간의 양방향 통신이기 때문입니다. 단일 서버 인증서의 경우 서버 인증만 필요합니다.
- 인증서에 키 암호화가 활성화됨 - 인증서를 생성하는 데 사용되는 인증서 템플릿에 키 암호화가 포함되어야 합니다. 이렇게 하면 인증서의 키를 사용하여 통신을 암호화할 수 있습니다.
- 루트 인증서가 있는 인증서 체인 - 인증서에는 루트 인증서를 포함하는 전체 체인이 포함되어 있습니다. 이는 소스와 타겟을 모두 신뢰할 수 있도록 하기 위해 필요합니다. 루트 인증서는 각 어플라이언스의 신뢰할 수 있는 루트 저장소에 추가됩니다. 중요: OpenManage Enterprise는 인증서 체인 내에서 최대 10개의 리프 인증서를 지원합니다.
- 발급 대상 및 발급자 - 루트 인증서는 트러스트 앵커로 사용된 다음 해당 트러스트 앵커에 대해 체인에 있는 모든 인증서의 유효성을 검사하는 데 사용됩니다. 인증서 체인에 루트 인증서가 포함되어 있는지 확인합니다.
| 발급 대상 | 발급자 |
| OMENT(어플라이언스) | Inter-CA1 |
| Inter-CA1 | Root-CA |
| Root-CA | Root-CA |
인증서 체인 업로드 작업
전체 인증서 체인을 획득한 후 OpenManage Enterprise 관리자는 웹 UI - 'Application Settings -> Security - Certificates'를 통해 체인을 업로드해야 합니다.
인증서가 요구 사항을 충족하지 않으면 다음 오류 중 하나가 웹 UI에 표시됩니다.
- CGEN1008 - 오류가 발생하여 요청을 처리할 수 없습니다.
- CSEC9002 - 제공된 인증서 파일이 잘못되어 인증서를 업로드할 수 없습니다.
CGEN1008 - 오류가 발생하여 요청을 처리할 수 없습니다.
CGEN1008 - Unable to process the request because an error occurred. Retry the operation. If the issue persists, contact your system administrator.
다음 오류 조건 중 하나라도 충족되면 CGEN1008 오류가 표시됩니다.
- 인증서 체인의 CSR 키가 잘못됨
- 인증서가 OpenManage Enterprise 웹 UI에서 CSR을 사용하여 생성되었는지 확인합니다. OpenManage Enterprise는 동일한 어플라이언스에서 CSR을 사용하여 생성되지 않은 인증서의 업로드를 지원하지 않습니다.
- 콘솔 로그 번들에 있는 tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 유효하지 않은 인증서 체인
- 루트 및 모든 중간 인증 기관의 인증서가 인증서 내에 포함되어야 합니다.
- 콘솔 로그 번들에 있는 tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 리프 인증서에 일반 이름이 없음 - 모든 인증서는 일반 이름을 포함해야 하며 와일드카드(*)를 포함해서는 안 됩니다.
참고: OpenManage Enterprise는 와일드카드(*) 인증서를 지원하지 않습니다. 고유 이름에 와일드카드(*)를 사용하여 웹 UI에서 CSR을 생성하면 다음 오류가 발생합니다.
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- 리프 인증서에 클라이언트 및 서버 인증 EKU(Extended Key Usage)가 없습니다.
- 확장된 키 사용을 위해 인증서에는 서버 및 클라이언트 인증이 모두 포함되어야 합니다.
- 콘솔 로그 번들에 있는 tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 향상된 키 사용에 대한 인증서 세부 정보를 검토합니다. 둘 중 하나가 누락된 경우 인증서를 생성하는 데 사용된 템플릿이 둘 모두에 대해 활성화되어 있는지 확인합니다.
- 키 사용에 키 암호화 누락
- 업로드 중인 인증서에는 키 사용에 대한 키 암호화가 나열되어 있어야 합니다.
- 콘솔 로그 번들에 있는 tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 키 사용에 대한 인증서 세부 정보를 검토합니다. 인증서 생성에 사용되는 템플릿에 키 암호화가 활성화되어 있는지 확인합니다.
CSEC9002 - 제공된 인증서 파일이 잘못되어 인증서를 업로드할 수 없습니다.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid. Make sure the CA certificate and private key are correct and retry the operation.
다음 오류 조건 중 하나라도 충족되면 CSEC9002 오류가 표시됩니다.
- 서버 인증서에 키 암호화 누락
- 인증서 생성에 사용되는 템플릿에 키 암호화가 활성화되어 있는지 확인합니다. 마이그레이션에 인증서를 활용할 때는 단일 서버 인증서가 아니라 전체 인증서 체인을 업로드해야 합니다.
- 콘솔 로그 번들에 있는 tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- 인증서 파일에 잘못된 인코딩이 포함되어 있음
- 인증서 파일이 Base 64 인코딩을 사용하여 저장되었는지 확인합니다.
- 콘솔 로그 번들에 있는 tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
마이그레이션 연결 검증 작업
인증서 체인을 업로드하면 마이그레이션 프로세스의 다음 단계인 소스 콘솔과 타겟 콘솔 간의 연결 설정을 진행할 수 있습니다. 이 단계에서 OpenManage Enterprise 관리자는 소스 및 타겟 콘솔의 IP 주소와 로컬 관리자 자격 증명을 제공합니다.연결 검증 시 다음 항목이 확인됩니다.
- 발급 대상 및 발급자 - 각 소스 인증서와 타겟 인증서 간 체인에 있는 인증 기관 이름에서 '발급 대상'과 '발급자'가 동일한지 여부 이러한 이름이 일치하지 않으면 소스 또는 타겟에서 동일한 서명 기관이 인증서를 발급했는지 확인할 수 없습니다. 이는 제로 트러스트 보안 프레임워크를 준수하는 데 매우 중요합니다.
| 소스 인증서 | 타겟 인증서 | |||
| 발급 대상 | 발급자 | 발급 대상 | 발급자 | |
| OMENT-310(소스) | Inter-CA1 | <-> | OMENT-400(타겟) | Inter-CA1 |
| Inter-CA1 | Root-CA | <-> | Inter-CA1 | Root-CA |
| Root-CA | Root-CA | <-> | Root-CA | Root-CA |
| 소스 인증서 | 타겟 인증서 | |||
|---|---|---|---|---|
| 발급 대상 | 발급자 | 발급 대상 | 발급자 | |
| OMENT-310(소스) | Inter-CA1 | X | OMENT-400(타겟) | Inter-CA2 |
| Inter-CA1 | Root-CA | X | Inter-CA2 | Root-CA |
| Root-CA | Root-CA | <-> | Root-CA | Root-CA |
- 유효 기간 - 어플라이언스의 날짜 및 시간과 함께 인증서 유효 기간을 확인합니다.
- 최대 깊이 - 인증서 체인이 최대 깊이인 10개의 리프 인증서를 초과하지 않는지 확인합니다.
Unable to mutually authenticate and connect to the remote appliance. Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
인증서 체인 요구 사항 우회
필요한 인증서 체인을 업로드하는 데 계속 문제가 발생하는 경우 자체 서명된 인증서를 활용하는 데 사용할 수 있는 지원되는 방법이 있습니다. 다음 문서에 설명된 대로 백업 및 복원 기능을 계속 활용합니다. https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur
Article Properties
Affected Product
Dell EMC OpenManage Enterprise
Last Published Date
11 Jun 2024
Version
4
Article Type
How To