Laitteen siirtoprosessi hyödyntää molemminpuolista TLS:ää (mTLS). Tämän tyyppistä keskinäistä todennusta käytetään Zero Trust -tietoturvakehyksessä, jossa mihinkään ei oletusarvoisesti luoteta.
Tyypillisessä TLS-pörssissä palvelimella on TLS-varmenne sekä julkinen ja yksityinen avainpari. Asiakas tarkistaa palvelinvarmenteen ja jatkaa sitten tietojen vaihtoa salatun istunnon kautta. mTLS:ssä sekä asiakas että palvelin tarkistavat varmenteen ennen tietojen vaihtamisen aloittamista.
Kaikkien OpenManage Enterprise -laitteiden, jotka käyttävät kolmannen osapuolen allekirjoitettua varmennetta, on ladattava varmenneketju ennen siirtotoiminnon jatkamista. Varmenneketju on järjestetty luettelo varmenteista, jotka sisältävät SSL/TLS-varmenteen ja varmenteen myöntäjän (CA) varmenteet. Ketju alkaa erillisvarmenteella, jota seuraa ketjun seuraavassa varmenteessa tunnistetun tahon allekirjoittamat varmenteet.
- Certificate = CA-allekirjoitettu varmenne (erillinen)
- Varmenneketju = CA-allekirjoitettu varmenne + keskitason CA-varmenne (jos sellainen on) + päävarmenteen varmenne
Varmenneketjun on täytettävä seuraavat vaatimukset, muuten järjestelmänvalvoja saa virheilmoituksia.
Siirron varmenneketjun vaatimukset
- Varmenteen allekirjoituspyynnön avainten vastaavuudet – varmenteen allekirjoituspyyntö (CSR) -avain valitaan varmenteen latauksen aikana. OpenManage Enterprise tukee vain sellaisten varmenteiden lataamista, joita kyseinen laite pyytää Certificate Signed Request (CSR) -pyynnöllä. Tämä vahvistustarkistus suoritetaan latauksen aikana sekä yksittäiselle palvelinvarmenteelle että varmenneketjulle.
- Varmenteen koodaus – Varmennetiedosto edellyttää Base 64 -koodausta. Varmista, että kun tallennat vietyä varmennetta varmenteen myöntäjältä, käytetään Base 64 -koodausta, muutoin varmennetiedosto katsotaan virheelliseksi.
- Vahvista varmenteen parannettu avaimen käyttö – varmista, että avaimen käyttö on käytössä sekä palvelintodennuksessa että asiakastodennuksessa. Tämä johtuu siitä, että siirto on kaksisuuntaista viestintää sekä lähteen että kohteen välillä, jossa kumpikin voi toimia palvelimena ja asiakkaana tiedonvaihdon aikana. Yksittäisissä palvelinvarmenteissa vaaditaan vain palvelintodennus.
- Varmenne on otettu käyttöön avaimen salausta varten – varmenteen luomiseen käytettävän varmennemallin on sisällettävä avaimen salaus. Näin varmistetaan, että varmenteen avaimia voidaan käyttää viestinnän salaamiseen.
- Varmenneketju ja päävarmenne – Varmenne sisältää koko ketjun , joka sisältää päävarmenteen. Tämä vaaditaan lähteelle ja kohteelle, jotta molempiin voidaan luottaa. Päävarmenne lisätään kunkin laitteen luotettuun juurisäilöön. TÄRKEÄÄ: OpenManage Enterprise tukee enintään 10 lehtivarmennetta varmenneketjussa.
- Myöntäjä ja myöntäjä - Päävarmennetta käytetään luottamusankkurina, minkä jälkeen kaikki ketjun varmenteet tarkistetaan kyseistä luottamusankkuria vasten. Varmista, että varmenneketju sisältää päävarmenteen.
Esimerkki varmenneketjusta
Myönnetty: |
Myöntänyt |
OMENT (laite) |
CA1:n välinen |
CA1:n välinen |
Juuri-CA |
Juuri-CA |
Juuri-CA |
Varmenneketjun lataustoiminto
Kun koko varmenneketju on hankittu, OpenManage Enterprise -järjestelmänvalvojan on ladattava ketju verkkokäyttöliittymän kautta - Sovellusasetukset -> Suojaus - Varmenteet.
Jos varmenne ei täytä vaatimuksia, verkkokäyttöliittymässä näkyy jokin seuraavista virheistä:
- CGEN1008 - Pyyntöä ei voida käsitellä virheen vuoksi.
- CSEC9002 - Varmennetta ei voi ladata, koska toimitettu varmennetiedosto on virheellinen.
Seuraavissa osissa korostetaan virheitä, ehdollisia käynnistimiä ja korjausohjeita.
CGEN1008 – Pyyntöä ei voitu käsitellä virheen vuoksi.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
CGEN1008 virhe näytetään, jos jokin seuraavista virheehdoista täyttyy:
- Virheellinen varmenneketjun CSR-avain
- Varmista, että varmenne on luotu OpenManage Enterprise -verkkokäyttöliittymän CSR-toiminnolla. OpenManage Enterprise ei tue sellaisen varmenteen lataamista samasta laitteesta, jota ei ole luotu CSR:n avulla.
- Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Virheellinen varmenneketju
- Päävarmenteen ja kaikkien välivarmenteiden myöntäjien varmenteet on sisällytettävä varmenteeseen.
- Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Lehtivarmenteesta ei löydy yleisnimeä - Kaikissa varmenteissa on oltava yleiset nimet, eikä niissä saa olla yleismerkkejä (*).
HUOMAUTUS: OpenManage Enterprise ei tue yleismerkkejä (*). CSR:n luominen verkkokäyttöliittymästä käyttämällä yleismerkkiä (*) tunnistetussa nimessä aiheuttaa seuraavan virheen:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- Leaf-varmenteessa ei ole asiakas- ja palvelintodennusta Laajennettu avaimen käyttö (EKU)
- Varmenteen on sisällettävä sekä palvelin- että asiakastodennus laajennettua avainkäyttöä varten.
- Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Tarkista varmenteen tiedot voidaksesi parantaa avainten käyttöä. Jos jompikumpi puuttuu, varmista, että varmenteen luontiin käytetty malli on käytössä molemmissa.
- Puuttuva avaimen salaus avaimen käyttöä varten
- Ladattavassa varmenteessa on oltava avaimen salaus merkittynä avaimen käyttöä varten.
- Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Tarkista varmenteen tiedot avaimen käyttöä varten. Varmista, että varmenteen luomiseen käytetyssä mallissa on käytössä avaimen salaus.
CSEC9002 - Varmennetta ei voi ladata, koska toimitettu varmennetiedosto on virheellinen.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
CSEC9002 virhe näytetään, jos jokin seuraavista virheehdoista täyttyy:
- Palvelinvarmenteesta puuttuu avaimen salaus
- Varmista, että varmenteen luomiseen käytetyssä mallissa on käytössä avaimen salaus. Kun käytät siirtovarmennetta, varmista, että palvelimeen ladataan koko varmenneketju yksittäisen palvelimen varmenteen sijaan.
- Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Varmennetiedosto sisältää väärän koodauksen
- Varmista, että varmennetiedosto on tallennettu Base 64 -koodauksella.
- Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Siirtoyhteyden vahvistustoiminto
Kun varmenneketju on ladattu onnistuneesti, siirtoprosessi voi edetä seuraavaan vaiheeseen - yhteyden muodostamiseen lähde- ja kohdekonsolien välille. Tässä vaiheessa OpenManage Enterprise -järjestelmänvalvoja antaa lähde- ja kohdekonsolien IP-osoitteen sekä paikallisen järjestelmänvalvojan tunnistetiedot.
Seuraavat kohdat tarkistetaan yhteyden vahvistamisen yhteydessä:
- Myöntänyt ja myöntänyt - Lähde- ja kohdevarmenteiden väliseen ketjuun kuuluvien varmenteiden myöntäjien nimissä on samat ilmaisut "myöntänyt" ja "myöntänyt". Jos nämä nimet eivät täsmää, lähde tai kohde ei voi varmistaa, että samat allekirjoitusviranomaiset ovat myöntäneet varmenteet. Tämä on ratkaisevan tärkeää nollaluottamuskehyksen noudattamiseksi.
Kelvollinen varmenneketju lähteen ja kohteen välillä
Lähdesertifikaatti |
|
|
Kohdevarmenne |
|
Myönnetty: |
Myöntänyt |
|
Myönnetty: |
Myöntänyt |
OMENT-310 (lähde) |
CA1:n välinen |
<-> |
OMENT-400 (tavoite) |
CA1:n välinen |
CA1:n välinen |
Juuri-CA |
<-> |
CA1:n välinen |
Juuri-CA |
Juuri-CA |
Juuri-CA |
<-> |
Juuri-CA |
Juuri-CA |
Virheellinen varmenneketju lähteen ja kohteen välillä
Lähdesertifikaatti |
|
|
Kohdevarmenne |
|
Myönnetty: |
Myöntänyt |
|
Myönnetty: |
Myöntänyt |
OMENT-310 (lähde) |
CA1:n välinen |
X |
OMENT-400 (tavoite) |
CA2:n välinen |
CA1:n välinen |
Juuri-CA |
X |
CA2:n välinen |
Juuri-CA |
Juuri-CA |
Juuri-CA |
<-> |
Juuri-CA |
Juuri-CA |
- Voimassaoloaika - tarkistaa varmenteen voimassaoloajan laitteen päivämäärällä ja kellonajalla.
- Enimmäissyvyys - varmista, että varmenneketju ei ylitä 10 lehtivarmenteen enimmäissyvyyttä.
Jos varmenteet eivät täytä edellä mainittuja vaatimuksia, konsoliyhteyksiä tarkistettaessa ilmenee seuraava virhe:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Ohita varmenneketjun vaatimus
Jos tarvittavan varmenneketjun lataamisessa on jatkuvia ongelmia, on olemassa tuettu tapa, jolla itse allekirjoitettua varmennetta voidaan hyödyntää.
Jatka varmuuskopiointi- ja palautustoiminnon avulla seuraavassa artikkelissa kuvatulla tavalla:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur