Overføringsprosessen for verktøy bruker gjensidig TLS (mTLS). Denne typen gjensidig autentisering brukes innenfor et Zero Trust-sikkerhetsrammeverk der ingenting er klarert som standard.
I en typisk TLS-utveksling har serveren TLS-sertifikatet og det offentlige og private nøkkelparet. Klienten verifiserer serversertifikatet og fortsetter deretter med å utveksle informasjon via en kryptert økt. Med mTLS bekrefter både klienten og serveren sertifikatet før de begynner å utveksle data.
Alle tilpassede verktøy i OpenManage Enterprise som bruker et signert sertifikat fra en tredjepart, må laste opp sertifikatkjeden før du fortsetter med en migrering. En sertifikatkjede er en ordnet liste over sertifikater som inneholder et SSL/TLS-sertifikat og sertifiseringsinstanssertifikater (CA). Kjeden begynner med det frittstående sertifikatet, og etterfølges av sertifikater signert av enheten som er identifisert i det neste sertifikatet i kjeden.
- Sertifikat = CA-signert sertifikat (frittstående)
- Sertifikatkjede = CA-signert sertifikat + mellomliggende CA-sertifikat (hvis aktuelt) + rot-CA-sertifikat
Sertifikatkjeden må oppfylle følgende krav, ellers blir administratoren presentert for feil.
Sertifikatkjedekrav for migrering
- Forespørsel om sertifikatsignering Nøkkeltreff – Under sertifikatopplastingen kontrolleres nøkkelen for forespørsel om sertifikatsignering (CSR). OpenManage Enterprise støtter bare opplasting av sertifikater som er forespurt ved hjelp av sertifikatsignert forespørsel (CSR) av det apparatet. Denne valideringskontrollen utføres under en opplasting for både et enkelt serversertifikat og en sertifikatkjede.
- Sertifikatkoding – sertifikatfilen krever Base 64-koding. Kontroller at når du lagrer det eksporterte sertifikatet fra sertifiseringsinstansen, brukes Base 64-koding, ellers anses sertifikatfilen som ugyldig.
- Bekreft sertifikat for forbedret nøkkelbruk – Kontroller at nøkkelbruk er aktivert for både servergodkjenning og klientgodkjenning. Dette er fordi migreringen er toveiskommunikasjon mellom både kilden og målet der begge kan fungere som en server og en klient under informasjonsutvekslingen. For enkle serversertifikater kreves bare servergodkjenning.
- Sertifikatet er aktivert for nøkkelkryptering – sertifikatmalen som brukes til å generere sertifikatet, må inneholde nøkkelkryptering. Dette sikrer at nøklene i sertifikatet kan brukes til å kryptere kommunikasjon.
- Sertifikatkjede med rotsertifikat – sertifikatet inneholder hele kjeden som inkluderer rotsertifikatet. Dette er nødvendig for kilden og målet for å sikre at begge kan stole på. Rotsertifikatet legges til i hvert apparats pålitelige rotlager. VIKTIG: OpenManage Enterprise støtter opptil 10 bladsertifikater i sertifikatkjeden.
- Utstedt til og utstedt av - Rotsertifikatet brukes som klareringsanker, og brukes deretter til å validere alle sertifikater i kjeden mot det klareringsankeret. Kontroller at sertifikatkjeden inneholder rotsertifikatet.
Eksempel på sertifikatkjede
Utstedt til |
Utstedt av |
OMENT (apparat) |
Inter-CA1 |
Inter-CA1 |
Root-CA |
Root-CA |
Root-CA |
Operasjon for sertifikatkjedeopplasting
Når hele sertifikatkjeden er anskaffet, må OpenManage Enterprise-administratoren laste opp kjeden via webgrensesnittet – Programinnstillinger –> Sikkerhet – Sertifikater.
Hvis sertifikatet ikke oppfyller kravene, vises en av følgende feil i webgrensesnittet:
- CGEN1008 – Kan ikke behandle forespørselen fordi det oppstod en feil
- CSEC9002 – Kan ikke laste opp sertifikatet fordi den oppgitte sertifikatfilen er ugyldig.
Delene nedenfor uthever feil, betingede utløsere og hvordan du utbedrer.
CGEN1008 – Kunne ikke behandle forespørselen fordi det oppstod en feil.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Den
CGEN1008 feilen vises hvis noen av følgende feilbetingelser er oppfylt:
- Ugyldig CSR-nøkkel for sertifikatkjeden
- Kontroller at sertifikatet ble generert ved hjelp av CSR fra OpenManage Enterprise-webgrensesnittet. OpenManage Enterprise støtter ikke opplasting av et sertifikat som ikke ble generert ved hjelp av CSR fra det samme apparatet.
- Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Ugyldig sertifikatkjede
- Roten og alle midlertidige sertifiseringsinstansersertifikater må inkluderes i sertifikatet.
- Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Finner ikke noe vanlig navn i bladsertifikatet – Alle sertifikater må inneholde vanlige navn og ikke inneholde jokertegn (*).
MERK: OpenManage Enterprise støtter ikke jokertegnsertifikater (*). Hvis du genererer en CSR fra webgrensesnittet ved hjelp av et jokertegn (*) i det unike navnet, genereres følgende feil:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- Det finnes ingen klient- og servergodkjenning for utvidet nøkkelbruk (EKU) i bladsertifikatet
- Sertifikatet må inneholde både server- og klientgodkjenning for utvidet nøkkelbruk.
- Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Se gjennom sertifikatdetaljene for å få utvidet nøkkelbruk. Hvis en av dem mangler, kontrollerer du at malen som brukes til å generere sertifikatet, er aktivert for begge.
- Manglende nøkkelkryptering for nøkkelbruk
- Sertifikatet som lastes opp, må ha nøkkelkrypteringen oppført for nøkkelbruk.
- Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Se gjennom sertifikatdetaljene for nøkkelbruk. Kontroller at malen som brukes til å generere sertifikatet, har nøkkelkryptering aktivert.
CSEC9002 – Kan ikke laste opp sertifikatet fordi den oppgitte sertifikatfilen er ugyldig.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Den CSEC9002 feilen vises hvis noen av følgende feilbetingelser er oppfylt:
- Kryptering av nøkkel for serversertifikat
- Kontroller at malen som brukes til å generere sertifikatet, har nøkkelkryptering aktivert. Når du bruker et sertifikat for migrering, må du sørge for at hele sertifikatkjeden er lastet opp i stedet for enkeltserversertifikatet.
- Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Sertifikatfilen inneholder feil koding
- Kontroller at sertifikatfilen ble lagret ved hjelp av Base 64-kodingen.
- Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Operasjon for verifisering av overføringstilkobling
Etter å ha lastet opp sertifikatkjeden, kan migreringsprosessen fortsette med neste trinn - etablere forbindelse mellom kilde- og målkonsoller. I dette trinnet gir OpenManage Enterprise-administratoren IP-adressen og legitimasjonen for lokal administrator for kilde- og målkonsollene.
Følgende elementer kontrolleres ved validering av tilkoblingen:
- Utstedt til og utstedt av - Navn på sertifiseringsinstansene i kjeden mellom hver av dem har kilde- og målsertifikatene samme «utstedt til» og «utstedt av». Hvis disse navnene ikke samsvarer, kan ikke kilden eller målet bekrefte at de samme signeringsmyndighetene har utstedt sertifikatene. Dette er avgjørende for å overholde sikkerhetsrammeverket for nulltillit.
Gyldig sertifikatkjede mellom kilde og mål
Kildesertifikat |
|
|
Målsertifikat |
|
Utstedt til |
Utstedt av |
|
Utstedt til |
Utstedt av |
OMENT-310 (kilde) |
Inter-CA1 |
<-> |
OMENT-400 (mål) |
Inter-CA1 |
Inter-CA1 |
Root-CA |
<-> |
Inter-CA1 |
Root-CA |
Root-CA |
Root-CA |
<-> |
Root-CA |
Root-CA |
Ugyldig sertifikatkjede mellom kilde og mål
Kildesertifikat |
|
|
Målsertifikat |
|
Utstedt til |
Utstedt av |
|
Utstedt til |
Utstedt av |
OMENT-310 (kilde) |
Inter-CA1 |
X |
OMENT-400 (mål) |
Inter-CA2 |
Inter-CA1 |
Root-CA |
X |
Inter-CA2 |
Root-CA |
Root-CA |
Root-CA |
<-> |
Root-CA |
Root-CA |
- Gyldighetsperiode - kontrollerer gyldighetsperioden for sertifikatet med dato og klokkeslett for apparatet.
- Maksimal dybde – kontroller at sertifikatkjeden ikke overskrider den maksimale dybden på 10 bladsertifikater.
Hvis sertifikatene ikke oppfyller kravene ovenfor, vises følgende feil når du prøver å validere konsolltilkoblingene:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Omgå krav om sertifikatkjede
Hvis det fortsatt oppstår problemer med opplasting av den nødvendige sertifikatkjeden, finnes det en metode som støttes for å dra nytte av det selvsignerte sertifikatet.
Fortsett med å bruke sikkerhetskopierings- og gjenopprettingsfunksjonen som beskrevet i følgende artikkel:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur