Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.

Виправлення неполадок із ланцюжком сертифікатів, потрібних для міграції OpenManage Enterprise

Summary: Адміністратори OpenManage Enterprise можуть зіткнутися з кількома помилками під час завантаження ланцюжка сертифікатів (CGEN1008 і CSEC9002) і етапу перевірки підключення. Нижче наведено посібник, який допоможе адміністраторам OpenManage Enterprise у випадку, якщо вони зіткнуться з помилками на цьому етапі процесу міграції. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

У процесі міграції базової системи використовується взаємний протокол TLS (mTLS). Цей тип взаємної автентифікації використовується в рамках системи безпеки Zero Trust, де за замовчуванням ніщо не є надійним.
 
У типовій біржі TLS сервер містить сертифікат TLS і пару відкритих і закритих ключів. Клієнт перевіряє сертифікат сервера, а потім продовжує обмінюватися інформацією через зашифрований сеанс. За допомогою mTLS і клієнт, і сервер перевіряють сертифікат, перш ніж почати обмінюватися будь-якими даними.
Схема зв'язку клієнта і сервера mTLS 
Будь-який пристрій OpenManage Enterprise, який використовує підписаний стороною сертифікат, повинен завантажити ланцюжок сертифікатів, перш ніж продовжити операцію міграції. Ланцюжок сертифікатів — це впорядкований список сертифікатів, що містять сертифікати SSL/TLS і сертифікати центру сертифікації (CA). Ланцюжок починається з автономного сертифіката, а за ним слідують сертифікати, підписані сутністю, визначеною в наступному сертифікаті в ланцюжку.
  • Сертифікат = сертифікат із підписом ЦС (автономний)
  • Ланцюжок сертифікатів = підписаний сертифікат ЦС + проміжний сертифікат ЦС (за наявності) + кореневий сертифікат ЦС
Ланцюжок сертифікатів повинен відповідати наступним вимогам, інакше адміністратор зіткнеться з помилками.
 

Вимоги до ланцюжка сертифікатів для міграції 

  1. Збіги ключів запиту на підписування сертифіката – під час завантаження сертифіката перевіряється ключ запиту на підписування сертифіката (CSR). OpenManage Enterprise підтримує вивантаження лише тих сертифікатів, які запитуються за допомогою запиту на підписання сертифіката (CSR) цим пристроєм. Ця перевірка валідації виконується під час вивантаження як для окремого сервера-сертифіката, так і для ланцюжка сертифікатів.
  2. Кодування сертифіката – файл сертифіката потребує кодування Base 64. Переконайтеся, що під час збереження експортованого сертифіката з центру сертифікації використовується кодування Base 64, інакше файл сертифіката вважатиметься недійсним.
  3. Перевірка розширеного використання ключа сертифіката – переконайтеся, що використання ключа ввімкнено як для автентифікації сервера, так і для автентифікації клієнта. Це пов'язано з тим, що міграція є двостороннім зв'язком між джерелом і об'єктом, де будь-який з них може виступати в ролі сервера і клієнта під час обміну інформацією. Для окремих сертифікатів сервера потрібна лише автентифікація сервера.
  4. Сертифікат увімкнено для шифрування ключа - шаблон сертифіката, який використовується для створення сертифіката, повинен містити шифрування ключа. Це гарантує, що ключі в сертифікаті можна буде використовувати для шифрування зв'язку.
  5. Ланцюжок сертифікатів із кореневим сертифікатом - Сертифікат містить повний ланцюжок , який включає кореневий сертифікат. Це потрібно для того, щоб джерело та ціль могли довіряти обом. Кореневий сертифікат буде додано до надійного кореневого сховища кожної базової системи. ВАЖЛИВИЙ: OpenManage Enterprise підтримує щонайбільше 10 листових сертифікатів у ланцюжку сертифікатів.
  6. Виданий і виданий - кореневий сертифікат використовується як якір довіри, а потім використовується для перевірки всіх сертифікатів у ланцюжку на відповідність цьому якорю довіри. Переконайтеся, що ланцюжок сертифікатів містить кореневий сертифікат.
Приклад ланцюжка сертифікатів
Видано для Видано
OMENT (прилад) Інтер-СА1
Інтер-СА1 Корінь-СА
Корінь-СА Корінь-СА


Операція завантаження ланцюжка сертифікатів

Після отримання повного ланцюжка сертифікатів адміністратор OpenManage Enterprise повинен завантажити ланцюжок через веб-інтерфейс - "Налаштування програми -> Безпека - Сертифікати".
 
Якщо сертифікат не відповідає вимогам, у веб-інтерфейсі відображається одна з таких помилок:
  • CGEN1008 - Не вдається обробити запит через помилку
  • CSEC9002 - Не вдається завантажити сертифікат, оскільки наданий файл сертифіката недійсний.
У наступних розділах висвітлено помилки, умовні тригери та способи їх усунення.

CGEN1008 - Неможливо обробити запит через помилку.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Помилка завантаження сертифіката CGEN1008 Не вдається обробити запит через помилку 
Помилка CGEN1008 відображається, якщо виконується будь-яка з наведених нижче умов помилки:
  • Недійсний ключ CSR для ланцюжка сертифікатів
    • Переконайтеся, що сертифікат згенеровано за допомогою CSR із веб-інтерфейсу OpenManage Enterprise. OpenManage Enterprise не підтримує завантаження сертифіката, який не було створено за допомогою CSR з того самого пристрою.
    • Наступна помилка видно в журналі додатків tomcat, розташованому в зв'язці журналу консолі:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Недійсний ланцюжок сертифікатів
    • Кореневий сертифікат і всі сертифікати проміжних центрів сертифікації повинні бути включені в сертифікат.
    • Наступна помилка видно в журналі додатків tomcat, розташованому в зв'язці журналу консолі:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • У листовому сертифікаті не знайдено спільної назви - Усі сертифікати повинні містити загальні назви та не містити символів узагальнення (*).
ПРИМІТКА: OpenManage Enterprise не підтримує сертифікати узагальнення (*). Генерація CSR з веб-інтерфейсу за допомогою символу узагальнення (*) у відмітній назві генерує таку помилку:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Помилка завантаження сертифіката CGEN6002 Не вдається виконати запит, оскільки відсутнє вхідне значення для параметра DistinctedName або введено недійсне значення 
  • Розширене використання ключа автентифікації клієнта та сервера (EKU) у листовому сертифікаті
    • Сертифікат повинен включати автентифікацію як сервера, так і клієнта для розширеного використання ключа.
    • Наступна помилка видно в журналі додатків tomcat, розташованому в зв'язці журналу консолі:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Перегляньте відомості про сертифікат для розширеного використання ключа. Якщо жодного з них не вистачає, переконайтеся, що шаблон, який використовується для створення сертифіката, увімкнено для обох.
Відомості про сертифікат, що показують розширене використання ключа для автентифікації сервера та клієнта 
  • Відсутнє шифрування ключа для використання ключа
    • Сертифікат, який завантажується, повинен мати зашифрований ключ для використання ключа.
    • Наступна помилка видно в журналі додатків tomcat, розташованому в зв'язці журналу консолі:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Перегляньте відомості про використання ключа в сертифікаті. Переконайтеся, що в шаблоні, який використовується для створення сертифіката, увімкнено шифрування ключа.
Подробиці сертифіката, що показують використання ключа для шифрування ключа 
 

CSEC9002 - Не вдається завантажити сертифікат, оскільки наданий файл сертифіката недійсний.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Помилка завантаження сертифіката CSEC9002 Не вдається завантажити сертифікат, оскільки наданий файл сертифіката недійсний.
 
Помилка CSEC9002 відображається, якщо виконується будь-яка з наведених нижче умов помилки: 
  • Шифрування відсутнього ключа сертифіката сервера
    • Переконайтеся, що в шаблоні, який використовується для створення сертифіката, увімкнено шифрування ключа. Використовуючи сертифікат для міграції, переконайтеся, що завантажено весь ланцюжок сертифікатів, а не один сертифікат сервера.
    • Наступна помилка видно в журналі додатків tomcat, розташованому в зв'язці журналу консолі:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Файл сертифіката містить неправильне кодування
    • Переконайтеся, що файл сертифіката збережено з використанням кодування Base 64.
    • Наступна помилка видно в журналі додатків tomcat, розташованому в зв'язці журналу консолі:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Операція перевірки міграційного з'єднання

Після успішного завантаження ланцюжка сертифікатів процес міграції може перейти до наступного кроку - встановлення з'єднання між вихідною та цільовою консолями. На цьому кроці адміністратор OpenManage Enterprise надає IP-адресу та облікові дані локального адміністратора для вихідної та цільової консолей.
 
Під час перевірки з'єднання перевіряються такі елементи:
  • Видано та видано - Назви центрів сертифікації в ланцюжку між кожним вихідним і цільовим сертифікатами мають однакові «видано до» та «видано». Якщо ці імена не збігаються, джерело або ціль не зможуть перевірити, чи видали сертифікати ті самі центри підписування. Це має вирішальне значення для дотримання системи безпеки з нульовою довірою.
Дійсний ланцюжок сертифікатів між джерелом і цільовим кодом
Сертифікат вихідного коду     Цільовий сертифікат  
Видано для Видано   Видано для Видано
OMENT-310 (джерело) Інтер-СА1 <-> OMENT-400 (мішень) Інтер-СА1
Інтер-СА1 Корінь-СА <-> Інтер-СА1 Корінь-СА
Корінь-СА Корінь-СА <-> Корінь-СА Корінь-СА
 
 
Недійсний ланцюжок сертифікатів між джерелом і об'єктом
Сертифікат вихідного коду     Цільовий сертифікат  
Видано для Видано   Видано для Видано
OMENT-310 (джерело) Інтер-СА1 X OMENT-400 (мішень) Інтер-СА2
Інтер-СА1 Корінь-СА X Інтер-СА2 Корінь-СА
Корінь-СА Корінь-СА <-> Корінь-СА Корінь-СА
 
  • Термін дії - звіряє термін дії сертифіката з датою та часом роботи приладу.
  • Максимальна глибина - переконайтеся, що ланцюжок сертифікатів не перевищує максимальну глибину 10 листових сертифікатів.
Якщо сертифікати не відповідають вищезазначеним вимогам, при спробі перевірки консольних з'єднань з'являється наступна помилка:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Помилка перевірки з'єднання міграції - Не вдається виконати взаємну автентифікацію та підключитися до віддаленого пристрою. 

Обхід вимог до ланцюжка сертифікатів

Якщо проблеми із завантаженням потрібного ланцюжка сертифікатів не припиняються, існує підтримуваний метод, яким можна скористатися для використання самопідписаного сертифіката.

Продовжуйте використовувати функцію резервного копіювання та відновлення, як описано в наступній статті:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Affected Products

Dell EMC OpenManage Enterprise
Article Properties
Article Number: 000221202
Article Type: How To
Last Modified: 11 Jun 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.