El proceso de migración de dispositivos aprovecha la opción de TLS mutua (mTLS). Este tipo de autenticación mutua se utiliza dentro de una infraestructura de seguridad de confianza cero en la que no se confía en nada de manera predeterminada.
En un intercambio de TLS típico, el servidor contiene el certificado TLS y el par de claves pública y privada. El cliente verifica el certificado del servidor y, a continuación, procede con el intercambio de información a través de una sesión cifrada. Con mTLS, tanto el cliente como el servidor verifican el certificado antes de comenzar a intercambiar datos.
Cualquier dispositivo OpenManage Enterprise que utilice un certificado firmado de otros fabricantes debe cargar la cadena de certificados antes de continuar con una operación de migración. Una cadena de certificados es una lista ordenada de certificados que contiene un certificado SSL/TLS y certificados de autoridad de certificación (CA). La cadena comienza con el certificado independiente y continúa con los certificados firmados por la entidad identificada en el siguiente certificado de la cadena.
- Certificado = Certificado firmado por CA (independiente)
- Cadena de certificados = Certificado firmado por CA + Certificado de CA intermedio (si existe) + Certificado de CA raíz
La cadena de certificados debe cumplir con los siguientes requisitos; de lo contrario, el administrador verá errores.
Requisitos de la cadena de certificados para la migración
- Coincidencias de claves de solicitud de firma de certificado: durante la carga de un certificado, se comprueba la clave de solicitud de firma de certificado (CSR). OpenManage Enterprise solo soporta la carga de certificados solicitados mediante una solicitud de firma de certificado (CSR) de ese dispositivo. Esta comprobación de validación se realiza durante la carga de un certificado de servidor único y una cadena de certificados.
- Codificación de certificados: el archivo de certificado requiere una codificación Base 64. Asegúrese de que, al guardar el certificado exportado desde la autoridad de certificación, se utilice la codificación Base 64; de lo contrario, el archivo de certificado se considerará no válido.
- Validación del uso mejorado de claves para certificados: compruebe que el uso de claves esté habilitado para la autenticación de servidor y la autenticación de cliente. Esto se debe a que la migración es una comunicación bidireccional entre el origen y el destino, donde cualquiera de los dos puede actuar como servidor y cliente durante el intercambio de información. Para los certificados de servidor único, solo se requiere la autenticación del servidor.
- El certificado está activado para el cifrado de claves: la plantilla de certificado utilizada para generar el certificado debe incluir el cifrado de claves. Esto garantiza que las claves del certificado se puedan utilizar para cifrar la comunicación.
- Cadena de certificados con certificado raíz: el certificado contiene la cadena completa que incluye el certificado raíz. Esto es necesario para que el origen y el destino garanticen que ambos sean de confianza. El certificado raíz se agrega al almacén raíz de confianza de cada dispositivo. IMPORTANTE: OpenManage Enterprise soporta un máximo de 10 certificados de hoja dentro de la cadena de certificados.
- Emitido para y emitido por: el certificado raíz se utiliza como anclaje de confianza y, a continuación, se usa para validar todos los certificados de la cadena en función de ese anclaje de confianza. Asegúrese de que la cadena de certificados incluya el certificado raíz.
Ejemplo de cadena de certificados
Emitido para |
Emitido por |
OMENT (dispositivo) |
Inter-CA1 |
Inter-CA1 |
CA raíz |
CA raíz |
CA raíz |
Operación de carga de la cadena de certificados
Una vez que se adquiere la cadena de certificados completa, el administrador de OpenManage Enterprise debe cargar la cadena a través de la interfaz de usuario web: “Application Settings -> Security - Certificates”.
Si el certificado no cumple con los requisitos, se muestra uno de los siguientes errores en la interfaz de usuario web:
- CGEN1008: no se puede procesar la solicitud porque se ha producido un error
- CSEC9002: no se puede cargar el certificado porque el archivo de certificado proporcionado no es válido.
En las siguientes secciones, se destacan los errores, los desencadenadores condicionales y la forma de corregirlos.
CGEN1008: no se puede procesar la solicitud porque se produjo un error.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
El error
CGEN1008 se muestra si se cumple alguna de las siguientes condiciones de error:
- Clave CSR no válida para la cadena de certificados
- Asegúrese de que el certificado se haya generado mediante una CSR desde la interfaz de usuario web de OpenManage Enterprise. OpenManage Enterprise no soporta la carga de un certificado que no se haya generado mediante una CSR desde el mismo dispositivo.
- Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Cadena de certificados no válida
- Los certificados de todas las autoridades de certificación intermedias y raíz deben incluirse en el certificado.
- Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- No se encontró ningún nombre común en el certificado de hoja: todos los certificados deben incluir los nombres comunes y no contener comodines (*).
NOTA: OpenManage Enterprise no soporta los certificados con comodines (*). La generación de una CSR desde la interfaz de usuario web mediante un comodín (*) en el nombre distintivo genera el siguiente error:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- El certificado de hoja no incluye el uso mejorado de claves (EKU) para la autenticación de cliente y de servidor
- El certificado debe incluir el uso mejorado de claves para la autenticación de cliente y la autenticación de servidor.
- Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Revise los detalles del certificado en relación con el uso mejorado de claves. Si no se incluye alguna de las dos opciones, asegúrese de que la plantilla utilizada para generar el certificado esté habilitada para ambas.
- Falta el cifrado de claves para el uso de claves
- El certificado que se cargará debe tener el cifrado de claves indicado para el uso de claves.
- Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Revise los detalles del certificado en relación con el uso de claves. Asegúrese de que la plantilla utilizada para generar el certificado tenga habilitado el cifrado de claves.
CSEC9002: no se puede cargar el certificado porque el archivo de certificado proporcionado no es válido.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
El error CSEC9002 se muestra si se cumple alguna de las siguientes condiciones de error:
- Cifrado de claves ausente entre el servidor y el certificado
- Asegúrese de que la plantilla utilizada para generar el certificado tenga habilitado el cifrado de claves. Cuando utilice un certificado para la migración, asegúrese de que se cargue la cadena de certificados completa en lugar del certificado de servidor único.
- Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- El archivo de certificado contiene una codificación incorrecta
- Asegúrese de que el archivo de certificado se guardó con la codificación Base 64.
- Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Operación de verificación de la conexión de migración
Después de cargar correctamente la cadena de certificados, el proceso de migración puede continuar con el siguiente paso: establecer la conexión entre las consolas de origen y destino. En este paso, el administrador de OpenManage Enterprise proporciona la dirección IP y las credenciales de administrador local para las consolas de origen y destino.
Al validar la conexión, se comprueban los siguientes elementos:
- Emitido para y emitido por: los nombres de las autoridades de certificación en la cadena entre cada uno de los certificados de origen y destino presentan los mismos valores de “emitido para” y “emitido por”. Si estos nombres no coinciden, el origen o el destino no pueden verificar que las mismas autoridades firmantes hayan emitido los certificados. Esto es crucial para cumplir con la infraestructura de seguridad de confianza cero.
Cadena de certificados válida entre el origen y el destino
Certificado de origen |
|
|
Certificado de destino |
|
Emitido para |
Emitido por |
|
Emitido para |
Emitido por |
OMENT-310 (origen) |
Inter-CA1 |
<-> |
OMENT-400 (destino) |
Inter-CA1 |
Inter-CA1 |
CA raíz |
<-> |
Inter-CA1 |
CA raíz |
CA raíz |
CA raíz |
<-> |
CA raíz |
CA raíz |
Cadena de certificados no válida entre el origen y el destino
Certificado de origen |
|
|
Certificado de destino |
|
Emitido para |
Emitido por |
|
Emitido para |
Emitido por |
OMENT-310 (origen) |
Inter-CA1 |
X |
OMENT-400 (destino) |
Inter-CA2 |
Inter-CA1 |
CA raíz |
X |
Inter-CA2 |
CA raíz |
CA raíz |
CA raíz |
<-> |
CA raíz |
CA raíz |
- Período de validez: compruebe el período de validez del certificado con la fecha y hora del dispositivo.
- Profundidad máxima: verifique que la cadena de certificados no supere la profundidad máxima de 10 certificados de hoja.
Si los certificados no cumplen con los requisitos anteriores, se observa el siguiente error cuando se intenta validar la conexión de las consolas:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Omisión del requisito de cadena de certificados
Si los problemas para cargar la cadena de certificados necesaria persisten, existe un método soportado que se puede utilizar para aprovechar el certificado autofirmado.
Continúe con el aprovechamiento de la característica de respaldo y restauración, tal como se describe en el siguiente artículo:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur