Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.

Поиск и устранение неисправностей, связанных с цепочкой сертификатов, необходимых для миграции OpenManage Enterprise

Summary: Администраторы OpenManage Enterprise могут столкнуться с несколькими ошибками на этапе загрузки цепочки сертификатов (CGEN1008 и CSEC9002) и проверки подключения. Ниже приведены инструкции, которые помогут администраторам OpenManage Enterprise в случае возникновения ошибок на этом этапе процесса миграции. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Процесс миграции устройства использует взаимное TLS (mTLS). Этот тип взаимной проверки подлинности используется в рамках концепции безопасности на основе нулевого доверия, когда по умолчанию нет никаких доверенных компонентов.
 
При обычном обмене TLS сервер содержит сертификат TLS, а также пару общедоступных и закрытых ключей. Клиент проверит сертификат сервера и затем приступит к обмену информацией через зашифрованный сеанс. При использовании mTLS клиент и сервер проверяют сертификат перед началом обмена данными.
Схема связи между клиентом и сервером через mTLS 
Перед осуществлением операции миграции любое устройство OpenManage Enterprise, использующее сторонний подписанный сертификат, должно загрузить цепочку сертификатов. Цепочка сертификатов — это упорядоченный список сертификатов, содержащий сертификат SSL/TLS и сертификаты источника сертификатов (CA). Цепочка начинается с изолированного сертификата, за которым следуют сертификаты, подписанные объектом, указанным в следующем сертификате в цепочке.
  • Сертификат = сертификат, подписанный CA (автономный)
  • Цепочка сертификатов = сертификат, подписанный CA + сертификат промежуточного CA (при наличии) + сертификат корневого CA
Цепочка сертификатов должна соответствовать следующим требованиям, в противном случае администратор получит ошибки.
 

Требования к цепочке сертификатов для миграции 

  1. Ключ запроса на заверение сертификата совпадает — во время загрузки сертификата проверяется ключ запроса на заверение сертификата (CSR). OpenManage Enterprise поддерживает только загрузку сертификатов, запрошенных этим устройством при помощи запроса на заверение сертификата (CSR). Данная проверка достоверности выполняется во время загрузки как для единого сертификата сервера, так и для цепочки сертификатов.
  2. Кодировка сертификата — для файла сертификата требуется кодировка Base 64. Удостоверьтесь в том, что при сохранении сертификата, экспортированного из источника сертификатов, использовалась кодировка Base 64, в противном случае файл сертификата признается недействительным.
  3. Проверьте достоверность использования расширенного ключа сертификата — убедитесь, что использование ключа включено как для проверки подлинности сервера, так и для проверки подлинности клиента. Это связано с тем, что миграция представляет собой двусторонний обмен данными между исходным и целевым устройством, при котором любое из них может выступать в качестве сервера и клиента в процессе обмена информацией. Для сертификата одиночного сервера требуется только проверка подлинности сервера.
  4. Сертификат включен для шифрования ключа — в шаблон сертификата, используемый для создания сертификата, необходимо включить шифрование ключа. Это гарантирует, что ключи в сертификате могут использоваться для шифрования обмена данными.
  5. Цепочка сертификатов с корневым сертификатом — сертификат содержит полную цепочку, включающую корневой сертификат. Это необходимо, чтобы обеспечить надежность исходного и целевого устройства. Корневой сертификат добавляется в доверенное корневое хранилище каждого устройства. ВАЖНО! OpenManage Enterprise поддерживает не более 10 сертификатов leaf в цепочке сертификатов.
  6. Выдан кому и кем — корневой сертификат используется в качестве якоря доверия, а затем применяется для проверки достоверности всех сертификатов в цепочке относительно этого якоря доверия. Убедитесь, что цепочка сертификатов включает корневой сертификат.
Пример цепочки сертификатов
Выдан кому Выдан кем
OMENT (устройство) Промежуточный CA1
Промежуточный CA1 Корневой CA
Корневой CA Корневой CA


Операция загрузки цепочки сертификатов

После получения полной цепочки сертификатов администратор OpenManage Enterprise должен загрузить цепочку через веб-интерфейс пользователя «Application Settings -> Security - Certificates».
 
Если сертификат не соответствует требованиям, в веб-интерфейсе отображается одна из следующих ошибок:
  • CGEN1008 — не удалось обработать запрос из-за ошибки
  • CSEC9002 — не удалось загрузить сертификат, так как предоставленный файл сертификата недействителен.
В следующих разделах описаны ошибки, условные триггеры и способы их устранения.

CGEN1008 — не удалось обработать запрос из-за ошибки.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Ошибка загрузки сертификата «CGEN1008: не удается обработать запрос из-за ошибки» 
Ошибка CGEN1008 отображается при выполнении любого из следующих условий ошибки:
  • Недопустимый ключ CSR для цепочки сертификатов
    • Убедитесь в том, что сертификат был создан при помощи запроса на выпуск сертификата (CSR) через веб-интерфейс OpenManage Enterprise. OpenManage Enterprise не поддерживает загрузку сертификата, созданного с помощью CSR того же устройства.
    • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Недопустимая цепочка сертификатов
    • Сертификаты корневого и промежуточного центра сертификации должны быть включены в сертификат.
    • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • В сертификате leaf не найдено общее имя - Все сертификаты должны содержать общие имена без поддержки поддоменов (*).
ПРИМЕЧАНИЕ. OpenManage Enterprise не поддерживает сертификаты с подстановочными знаками (*). При создании CSR в веб-интерфейсе пользователя с использованием подстановочного знака (*) в уникальном имени возникает следующая ошибка:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Ошибка загрузки сертификата «CGEN6002: невозможно выполнить запрос, так как отсутствует входное значение DistinguedName или введено недопустимое значение» 
  • В сертификате leaf отсутствует расширенное использование ключа проверки подлинности клиента и сервера (EKU)
    • Сертификат должен включать проверку подлинности сервера и клиента для расширенного использования ключа.
    • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Просмотрите подробные сведения о сертификате, чтобы узнать об использовании расширенного ключа. Если какой-либо из них отсутствует, удостоверьтесь в том, что шаблон, используемый для создания сертификата, включен для них обоих.
В сведениях о сертификате показано использование расширенного ключа для проверки подлинности сервера и клиента 
  • Отсутствует шифрование ключа для его использования
    • У загружаемого сертификата должно быть указано шифрование ключа для его использования.
    • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Просмотрите подробные сведения о сертификате, чтобы узнать об использовании ключа. Убедитесь, что в шаблоне, используемом для создания сертификата, включена функция шифрования ключа.
Сведения о сертификате, показывающие использование ключа для шифрования ключа 
 

CSEC9002 — не удалось загрузить сертификат, так как предоставленный файл сертификата недействителен.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Ошибка загрузки сертификата «CSEC9002: не удалось загрузить сертификат, так как предоставленный файл сертификата недействителен».
 
Ошибка CSEC9002 отображается при выполнении любого из следующих условий ошибки: 
  • В сертификате сервера отсутствует шифрование ключа
    • Убедитесь, что в шаблоне, используемом для создания сертификата, включена функция шифрования ключа. При использовании сертификата для миграции убедитесь, что загружена полная цепочка сертификатов, а не сертификат одиночного сервера.
    • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Файл сертификата содержит неверную кодировку
    • Убедитесь, что файл сертификата сохранен с помощью кодировки Base 64.
    • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Операция проверки подключения для миграции

После успешной загрузки цепочки сертификатов можно перейти к следующему шагу процедуры миграции — установке соединения между исходной и целевой консолями. На этом этапе администратор OpenManage Enterprise предоставляет IP-адрес и учетные данные локального администратора для исходной и целевой консолей.
 
При проверке подключения проверяются следующие элементы:
  • Выдан кому и кем — Имена центров сертификации в цепочке между каждым исходным и целевым сертификатами имеют одинаковые значения «issued to» и «issued by». Если эти имена не совпадают, исходные или целевые объекты не смогут проверить подлинность того, что сертификаты выданы одним и тем же источником сертификатов. Это критически важно для соблюдения концепции безопасности на основе нулевого доверия.
Допустимая цепочка сертификатов между исходным и целевым объектом
Исходный сертификат     Целевой сертификат  
Выдан кому Выдан кем   Выдан кому Выдан кем
OMENT-310 (исходный) Промежуточный CA1 <-> OMENT-400 (целевой) Промежуточный CA1
Промежуточный CA1 Корневой CA <-> Промежуточный CA1 Корневой CA
Корневой CA Корневой CA <-> Корневой CA Корневой CA
 
 
Недопустимая цепочка сертификатов между исходным и целевым объектом
Исходный сертификат     Целевой сертификат  
Выдан кому Выдан кем   Выдан кому Выдан кем
OMENT-310 (исходный) Промежуточный CA1 X OMENT-400 (целевой) Промежуточный CA2
Промежуточный CA1 Корневой CA X Промежуточный CA2 Корневой CA
Корневой CA Корневой CA <-> Корневой CA Корневой CA
 
  • Срок действия — проверка срока действия сертификата с указанием даты и времени устройства.
  • Максимальная глубина — удостоверьтесь в том, что длина цепочки сертификатов не превышает максимальную глубину 10 сертификатов leaf.
Если сертификаты не соответствуют указанным выше требованиям, при попытке проверить подключения консоли отображается следующая ошибка:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Ошибка проверки подлинности подключения миграции — не удалось взаимно проверить подлинность и подключиться к удаленному устройству. 

Обход требований к цепочке сертификатов

Если постоянно возникают проблемы при загрузке требуемой цепочки сертификатов, существует поддерживаемый метод, позволяющий использовать самозаверяющий сертификат.

Перейдите к использованию функции резервного копирования и восстановления, как описано в следующей статье:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Affected Products

Dell EMC OpenManage Enterprise
Article Properties
Article Number: 000221202
Article Type: How To
Last Modified: 11 Jun 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.