Proces migrace zařízení využívá vzájemné ověření TLS (mTLS). Tento typ vzájemného ověřování se používá v architektuře zabezpečení Zero Trust, kde ve výchozím nastavení není nic důvěryhodné.
V typické výměně TLS má server certifikát TLS a pár veřejného a soukromého klíče. Klient ověří certifikát serveru a poté pokračuje ve výměně informací prostřednictvím šifrované relace. Při použití mTLS si klient i server nejprve ověří certifikát, než si začnou vyměňovat jakákoli data.
Každé zařízení OpenManage Enterprise, které využívá certifikát podepsaný třetí stranou, musí před pokračováním v migraci nahrát řetězec certifikátů. Řetězec certifikátů je uspořádaný seznam certifikátů s certifikátem SSL/TLS a certifikáty certifikační autority (CA). Řetězec začíná samostatným certifikátem a následují certifikáty podepsané entitou identifikovanou v dalším certifikátu v řetězci.
- Certifikát = certifikát podepsaný certifikační autoritou (samostatný)
- Řetězec certifikátů = certifikát podepsaný certifikační autoritou + certifikát zprostředkující certifikační autority (pokud je použit) + certifikát kořenové certifikační autority
Řetězec certifikátů musí splňovat následující požadavky, jinak se správci zobrazí chyby.
Požadavky na řetězec certifikátů pro migraci
- Shoda klíče žádosti o podpis certifikátu – Během nahrávání certifikátu se zkontroluje klíč žádosti o podpis certifikátu (CSR). Nástroj OpenManage Enterprise podporuje pouze nahrávání certifikátů, které si zařízení vyžádá pomocí žádosti o podpis certifikátu (CSR). Tato kontrola se provádí během nahrávání jednoho certifikátu serveru i řetězce certifikátů.
- Kódování certifikátu – Soubor certifikátu vyžaduje kódování Base 64. Při ukládání exportovaného certifikátu od certifikační autority se ujistěte, že je použito kódování Base 64, jinak bude soubor certifikátu považován za neplatný.
- Ověřte rozšířené použití klíče certifikátu – zkontrolujte, zda je použití klíče povoleno pro ověřování serveru i klienta. To je potřeba proto, že migrace je obousměrná komunikace mezi zdrojem a cílem, kde oba mohou během výměny informací fungovat jako server a klient. U certifikátů jednotlivých serverů je vyžadováno pouze ověření serveru.
- Certifikát je povolen pro šifrování klíčů – Šablona certifikátu použitá k vygenerování certifikátu musí obsahovat šifrování klíče. Tím je zajištěno, že klíče v certifikátu lze použít k šifrování komunikace.
- Řetězec certifikátů s kořenovým certifikátem – Certifikát obsahuje úplný řetěz, který zahrnuje kořenový certifikát. To je vyžadováno pro zdroj a cíl, aby se zajistila jejich důvěryhodnost. Kořenový certifikát se přidá do důvěryhodného kořenového úložiště každého zařízení. DŮLEŽITÉ: Nástroj OpenManage Enterprise podporuje v řetězci certifikátů nejvýše 10 certifikátů leaf.
- Příjemce a vydavatel – Kořenový certifikát se používá jako kotva důvěryhodnosti, která se pak použije k ověření všech certifikátů v řetězci. Ujistěte se, že řetězec certifikátů obsahuje kořenový certifikát.
Ukázkový řetězec certifikátů
Příjemce |
Vydavatel |
OMENT (zařízení) |
Inter-CA1 |
Inter-CA1 |
Kořenová certifikační autorita |
Kořenová certifikační autorita |
Kořenová certifikační autorita |
Operace nahrání řetězce certifikátů
Po získání celého řetězce certifikátů jej musí správce OpenManage Enterprise nahrát prostřednictvím webového uživatelského rozhraní „Application Settings -> Security – Certificates“.
Pokud certifikát nesplňuje požadavky, zobrazí se ve webovém uživatelském rozhraní jedna z následujících chyb:
- CGEN1008 – Unable to process the request because an error occurred
- CSEC9002 – Unable to upload the certificate because the certificate file provided is invalid.
Následující části se zaměřují na chyby, podmíněné spouštěče a způsob nápravy.
CGEN1008 – Unable to process the request because an error occurred.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Chyba
CGEN1008 se zobrazí, pokud je splněn některý z následujících chybových stavů:
- Neplatný klíč CSR pro řetězec certifikátů
- Zkontrolujte, zda byl certifikát vygenerován pomocí žádosti CSR z webového uživatelského rozhraní OpenManage Enterprise. Nástroj OpenManage Enterprise nepodporuje nahrání certifikátu, který nebyl vygenerován pomocí žádosti CSR ze stejného zařízení.
- V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Neplatný řetězec certifikátů
- V certifikátu musí být obsaženy kořenové certifikáty a certifikáty všech zprostředkujících certifikačních autorit.
- V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- V certifikátu leaf nebyl nalezen žádný běžný název – všechny certifikáty musí obsahovat běžné názvy a nesmí obsahovat zástupné znaky (*).
POZNÁMKA: Nástroj OpenManage Enterprise nepodporuje certifikáty se zástupnými znaky (*). Při generování žádosti CSR z webového uživatelského rozhraní pomocí zástupného znaku (*) v rozlišujícím názvu dojde k následující chybě:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- V certifikátu leaf není k dispozici rozšířené použití klíče (EKU) pro ověření klientů a serverů
- Rozšířené využití klíče vyžaduje, aby certifikát obsahoval ověření serveru i klienta.
- V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Zkontrolujte podrobnosti certifikátu pro rozšířené použití klíče. Pokud něco chybí, ujistěte se, že šablona použitá k vygenerování certifikátu je povolena pro obě strany.
- Chybí šifrování klíče pro použití klíče
- Nahrávaný certifikát musí mít uvedeno šifrování klíče pro používání klíče.
- V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Zkontrolujte podrobnosti certifikátu pro použití klíče. Ujistěte se, že šablona použitá k vygenerování certifikátu má povolené šifrování klíče.
CSEC9002 – Unable to upload the certificate because the certificate file provided is invalid.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Chyba CSEC9002 se zobrazí, pokud je splněn některý z následujících chybových stavů:
- Certifikát serveru postrádá šifrování klíče
- Ujistěte se, že šablona použitá k vygenerování certifikátu má povolené šifrování klíče. Při využití certifikátu k migraci se ujistěte, že je nahrán celý řetězec certifikátů, nikoli pouze jeden certifikát serveru.
- V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Soubor certifikátu obsahuje nesprávné kódování
- Ujistěte se, že soubor certifikátu byl uložen s kódováním Base 64.
- V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Operace ověření připojení migrace
Po úspěšném nahrání řetězce certifikátů může proces migrace pokračovat dalším krokem – navázáním připojení mezi zdrojovou a cílovou konzolí. V tomto kroku správce zařízení OpenManage Enterprise zadá IP adresu a přihlašovací údaje místního správce pro zdrojovou a cílovou konzoli.
Při ověřování připojení se kontrolují následující položky:
- Příjemce a vydavatel – Názvy certifikačních autorit v řetězci mezi jednotlivými zdrojovými a cílovými certifikáty musí mít stejné hodnoty „Issued to“ a „Issued by“. Pokud se tyto názvy neshodují, zdroj nebo cíl nemůže ověřit, zda certifikáty vystavily stejné podepisující autority. To je zásadní pro dodržování architektury zabezpečení Zero-Trust.
Platný řetěz certifikátů mezi zdrojem a cílem
Zdrojový certifikát |
|
|
Cílový certifikát |
|
Příjemce |
Vydavatel |
|
Příjemce |
Vydavatel |
OMENT-310 (zdroj) |
Inter-CA1 |
<-> |
OMENT-400 (cíl) |
Inter-CA1 |
Inter-CA1 |
Kořenová certifikační autorita |
<-> |
Inter-CA1 |
Kořenová certifikační autorita |
Kořenová certifikační autorita |
Kořenová certifikační autorita |
<-> |
Kořenová certifikační autorita |
Kořenová certifikační autorita |
Neplatný řetězec certifikátů mezi zdrojem a cílem
Zdrojový certifikát |
|
|
Cílový certifikát |
|
Příjemce |
Vydavatel |
|
Příjemce |
Vydavatel |
OMENT-310 (zdroj) |
Inter-CA1 |
X |
OMENT-400 (cíl) |
Inter-CA2 |
Inter-CA1 |
Kořenová certifikační autorita |
X |
Inter-CA2 |
Kořenová certifikační autorita |
Kořenová certifikační autorita |
Kořenová certifikační autorita |
<-> |
Kořenová certifikační autorita |
Kořenová certifikační autorita |
- Doba platnosti – Zkontroluje dobu platnosti certifikátu s datem a časem zařízení.
- Maximální hloubka – Ověří, že řetězec certifikátů nepřekračuje maximální hloubku 10 certifikátů leaf.
Pokud certifikáty nesplňují výše uvedené požadavky, zobrazí se při pokusu o ověření připojení konzole následující chyba:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Obejití požadavku na řetězec certifikátů
Pokud problémy s nahráním požadovaného řetězce certifikátů přetrvávají, je k dispozici podporovaná metoda, pomocí které lze použít certifikát podepsaný držitelem.
Pokračujte použitím funkce zálohování a obnovení, jak je uvedeno v následujícím článku:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur