Процесс миграции устройства использует взаимное TLS (mTLS). Этот тип взаимной проверки подлинности используется в рамках концепции безопасности на основе нулевого доверия, когда по умолчанию нет никаких доверенных компонентов.
При обычном обмене TLS сервер содержит сертификат TLS, а также пару общедоступных и закрытых ключей. Клиент проверит сертификат сервера и затем приступит к обмену информацией через зашифрованный сеанс. При использовании mTLS клиент и сервер проверяют сертификат перед началом обмена данными.
Перед осуществлением операции миграции любое устройство OpenManage Enterprise, использующее сторонний подписанный сертификат, должно загрузить цепочку сертификатов. Цепочка сертификатов — это упорядоченный список сертификатов, содержащий сертификат SSL/TLS и сертификаты источника сертификатов (CA). Цепочка начинается с изолированного сертификата, за которым следуют сертификаты, подписанные объектом, указанным в следующем сертификате в цепочке.
- Сертификат = сертификат, подписанный CA (автономный)
- Цепочка сертификатов = сертификат, подписанный CA + сертификат промежуточного CA (при наличии) + сертификат корневого CA
Цепочка сертификатов должна соответствовать следующим требованиям, в противном случае администратор получит ошибки.
Требования к цепочке сертификатов для миграции
- Ключ запроса на заверение сертификата совпадает — во время загрузки сертификата проверяется ключ запроса на заверение сертификата (CSR). OpenManage Enterprise поддерживает только загрузку сертификатов, запрошенных этим устройством при помощи запроса на заверение сертификата (CSR). Данная проверка достоверности выполняется во время загрузки как для единого сертификата сервера, так и для цепочки сертификатов.
- Кодировка сертификата — для файла сертификата требуется кодировка Base 64. Удостоверьтесь в том, что при сохранении сертификата, экспортированного из источника сертификатов, использовалась кодировка Base 64, в противном случае файл сертификата признается недействительным.
- Проверьте достоверность использования расширенного ключа сертификата — убедитесь, что использование ключа включено как для проверки подлинности сервера, так и для проверки подлинности клиента. Это связано с тем, что миграция представляет собой двусторонний обмен данными между исходным и целевым устройством, при котором любое из них может выступать в качестве сервера и клиента в процессе обмена информацией. Для сертификата одиночного сервера требуется только проверка подлинности сервера.
- Сертификат включен для шифрования ключа — в шаблон сертификата, используемый для создания сертификата, необходимо включить шифрование ключа. Это гарантирует, что ключи в сертификате могут использоваться для шифрования обмена данными.
- Цепочка сертификатов с корневым сертификатом — сертификат содержит полную цепочку, включающую корневой сертификат. Это необходимо, чтобы обеспечить надежность исходного и целевого устройства. Корневой сертификат добавляется в доверенное корневое хранилище каждого устройства. ВАЖНО! OpenManage Enterprise поддерживает не более 10 сертификатов leaf в цепочке сертификатов.
- Выдан кому и кем — корневой сертификат используется в качестве якоря доверия, а затем применяется для проверки достоверности всех сертификатов в цепочке относительно этого якоря доверия. Убедитесь, что цепочка сертификатов включает корневой сертификат.
Пример цепочки сертификатов
Выдан кому |
Выдан кем |
OMENT (устройство) |
Промежуточный CA1 |
Промежуточный CA1 |
Корневой CA |
Корневой CA |
Корневой CA |
Операция загрузки цепочки сертификатов
После получения полной цепочки сертификатов администратор OpenManage Enterprise должен загрузить цепочку через веб-интерфейс пользователя «Application Settings -> Security - Certificates».
Если сертификат не соответствует требованиям, в веб-интерфейсе отображается одна из следующих ошибок:
- CGEN1008 — не удалось обработать запрос из-за ошибки
- CSEC9002 — не удалось загрузить сертификат, так как предоставленный файл сертификата недействителен.
В следующих разделах описаны ошибки, условные триггеры и способы их устранения.
CGEN1008 — не удалось обработать запрос из-за ошибки.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Ошибка
CGEN1008 отображается при выполнении любого из следующих условий ошибки:
- Недопустимый ключ CSR для цепочки сертификатов
- Убедитесь в том, что сертификат был создан при помощи запроса на выпуск сертификата (CSR) через веб-интерфейс OpenManage Enterprise. OpenManage Enterprise не поддерживает загрузку сертификата, созданного с помощью CSR того же устройства.
- В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Недопустимая цепочка сертификатов
- Сертификаты корневого и промежуточного центра сертификации должны быть включены в сертификат.
- В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- В сертификате leaf не найдено общее имя - Все сертификаты должны содержать общие имена без поддержки поддоменов (*).
ПРИМЕЧАНИЕ. OpenManage Enterprise не поддерживает сертификаты с подстановочными знаками (*). При создании CSR в веб-интерфейсе пользователя с использованием подстановочного знака (*) в уникальном имени возникает следующая ошибка:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- В сертификате leaf отсутствует расширенное использование ключа проверки подлинности клиента и сервера (EKU)
- Сертификат должен включать проверку подлинности сервера и клиента для расширенного использования ключа.
- В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Просмотрите подробные сведения о сертификате, чтобы узнать об использовании расширенного ключа. Если какой-либо из них отсутствует, удостоверьтесь в том, что шаблон, используемый для создания сертификата, включен для них обоих.
- Отсутствует шифрование ключа для его использования
- У загружаемого сертификата должно быть указано шифрование ключа для его использования.
- В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Просмотрите подробные сведения о сертификате, чтобы узнать об использовании ключа. Убедитесь, что в шаблоне, используемом для создания сертификата, включена функция шифрования ключа.
CSEC9002 — не удалось загрузить сертификат, так как предоставленный файл сертификата недействителен.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Ошибка CSEC9002 отображается при выполнении любого из следующих условий ошибки:
- В сертификате сервера отсутствует шифрование ключа
- Убедитесь, что в шаблоне, используемом для создания сертификата, включена функция шифрования ключа. При использовании сертификата для миграции убедитесь, что загружена полная цепочка сертификатов, а не сертификат одиночного сервера.
- В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Файл сертификата содержит неверную кодировку
- Убедитесь, что файл сертификата сохранен с помощью кодировки Base 64.
- В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Операция проверки подключения для миграции
После успешной загрузки цепочки сертификатов можно перейти к следующему шагу процедуры миграции — установке соединения между исходной и целевой консолями. На этом этапе администратор OpenManage Enterprise предоставляет IP-адрес и учетные данные локального администратора для исходной и целевой консолей.
При проверке подключения проверяются следующие элементы:
- Выдан кому и кем — Имена центров сертификации в цепочке между каждым исходным и целевым сертификатами имеют одинаковые значения «issued to» и «issued by». Если эти имена не совпадают, исходные или целевые объекты не смогут проверить подлинность того, что сертификаты выданы одним и тем же источником сертификатов. Это критически важно для соблюдения концепции безопасности на основе нулевого доверия.
Допустимая цепочка сертификатов между исходным и целевым объектом
Исходный сертификат |
|
|
Целевой сертификат |
|
Выдан кому |
Выдан кем |
|
Выдан кому |
Выдан кем |
OMENT-310 (исходный) |
Промежуточный CA1 |
<-> |
OMENT-400 (целевой) |
Промежуточный CA1 |
Промежуточный CA1 |
Корневой CA |
<-> |
Промежуточный CA1 |
Корневой CA |
Корневой CA |
Корневой CA |
<-> |
Корневой CA |
Корневой CA |
Недопустимая цепочка сертификатов между исходным и целевым объектом
Исходный сертификат |
|
|
Целевой сертификат |
|
Выдан кому |
Выдан кем |
|
Выдан кому |
Выдан кем |
OMENT-310 (исходный) |
Промежуточный CA1 |
X |
OMENT-400 (целевой) |
Промежуточный CA2 |
Промежуточный CA1 |
Корневой CA |
X |
Промежуточный CA2 |
Корневой CA |
Корневой CA |
Корневой CA |
<-> |
Корневой CA |
Корневой CA |
- Срок действия — проверка срока действия сертификата с указанием даты и времени устройства.
- Максимальная глубина — удостоверьтесь в том, что длина цепочки сертификатов не превышает максимальную глубину 10 сертификатов leaf.
Если сертификаты не соответствуют указанным выше требованиям, при попытке проверить подключения консоли отображается следующая ошибка:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Обход требований к цепочке сертификатов
Если постоянно возникают проблемы при загрузке требуемой цепочки сертификатов, существует поддерживаемый метод, позволяющий использовать самозаверяющий сертификат.
Перейдите к использованию функции резервного копирования и восстановления, как описано в следующей статье:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur