Het migratieproces van het apparaat maakt gebruik van wederzijdse TLS (mTLS). Dit type wederzijdse verificatie wordt gebruikt binnen een Zero Trust-beveiligingsframework waarin standaard niets wordt vertrouwd.
In een typische TLS-uitwisseling is de server in het bezit van het TLS-certificaat en het openbare en private sleutelpaar. De client verifieert het servercertificaat en gaat vervolgens verder met het uitwisselen van informatie via een versleutelde sessie. Met mTLS verifiëren zowel de client als de server het certificaat voordat ze gegevens gaan uitwisselen.
Elk OpenManage Enterprise-apparaat dat gebruikmaakt van een ondertekend certificaat van derden moet de certificaatketen uploaden voordat een migratiebewerking wordt uitgevoerd. Een certificaatketen is een geordende lijst met certificaten die een SSL/TLS-certificaat en CA-certificaten (Certificate Authority) bevatten. De keten begint met het zelfstandige certificaat en wordt gevolgd door certificaten die zijn ondertekend door de entiteit die is geïdentificeerd in het volgende certificaat in de keten.
- Certificaat = CA ondertekend certificaat (stand-alone)
- Certificaatketen = CA-ondertekend certificaat + tussenliggend CA-certificaat (indien aanwezig) + basis-CA-certificaat
De certificaatketen moet aan de volgende vereisten voldoen, anders krijgt de beheerder fouten te zien.
Vereisten voor certificaatketen voor migratie
- De certificaatondertekeningsaanvraagsleutel komt overeen: tijdens het uploaden van het certificaat wordt de CSR-sleutel (Certificate Signing Request) gecontroleerd. OpenManage Enterprise ondersteunt alleen het uploaden van certificaten die door dat apparaat zijn aangevraagd met behulp van de CSR (Certificate Signed Request). Deze validatiecontrole wordt uitgevoerd tijdens het uploaden van zowel een enkel servercertificaat als een certificaatketen.
- Certificaatcodering - Het certificaatbestand vereist een codering van basis 64. Zorg ervoor dat bij het opslaan van het geëxporteerde certificaat van de certificaatautoriteit Base 64-codering wordt gebruikt, anders wordt het certificaatbestand als ongeldig beschouwd.
- Verbeterd sleutelgebruik van certificaten valideren : controleer of het sleutelgebruik is ingeschakeld voor zowel serververificatie als clientverificatie. Dit komt omdat de migratie tweerichtingscommunicatie is tussen zowel de bron als het doel, waarbij beide kunnen fungeren als een server en een client tijdens de informatie-uitwisseling. Voor enkelvoudige servercertificaten is alleen de serverauthenticatie vereist.
- Certificaat is ingeschakeld voor sleutelversleuteling - De certificaatsjabloon die wordt gebruikt om het certificaat te genereren, moet sleutelversleuteling bevatten. Dit zorgt ervoor dat de sleutels in het certificaat kunnen worden gebruikt om communicatie te versleutelen.
- Certificaatketen met basiscertificaat : het certificaat bevat de volledige keten die het basiscertificaat bevat. Dit is vereist voor de bron en het doel om ervoor te zorgen dat beide kunnen worden vertrouwd. Het rootcertificaat wordt toegevoegd aan de vertrouwde root-store van elk apparaat. BELANGRIJK: OpenManage Enterprise ondersteunt maximaal 10 leaf-certificaten binnen de certificaatketen.
- Uitgegeven aan en uitgegeven door : het basiscertificaat wordt gebruikt als het vertrouwensanker en vervolgens gebruikt om alle certificaten in de keten te valideren op basis van dat vertrouwensanker. Zorg ervoor dat de certificaatketen het basiscertificaat bevat.
Voorbeeld van certificaatketen
Uitgegeven aan |
Uitgegeven door |
OMENT (apparaat) |
Inter-CA1 |
Inter-CA1 |
Root-CA |
Root-CA |
Root-CA |
Uploadbewerking certificaatketen
Zodra de volledige certificaatketen is verkregen, moet de OpenManage Enterprise-beheerder de keten uploaden via de webinterface - 'Applicatie-instellingen -> Beveiliging - Certificaten'.
Als het certificaat niet aan de vereisten voldoet, wordt een van de volgende fouten weergegeven in de webinterface:
- CGEN1008 - Kan de aanvraag niet verwerken omdat er een fout is opgetreden
- CSEC9002 - Kan het certificaat niet uploaden omdat het opgegeven certificaatbestand ongeldig is.
In de volgende secties worden de fouten, voorwaardelijke triggers en hoe u deze kunt herstellen gemarkeerd.
CGEN1008 - Kan de aanvraag niet verwerken omdat er een fout is opgetreden.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
De
fout CGEN1008 wordt weergegeven als aan een van de volgende foutvoorwaarden wordt voldaan:
- Ongeldige CSR-sleutel voor de certificaatketen
- Controleer of het certificaat is gegenereerd met behulp van de CSR uit de OpenManage Enterprise webinterface. OpenManage Enterprise biedt geen ondersteuning voor het uploaden van een certificaat dat niet is gegenereerd met behulp van de CSR van hetzelfde apparaat.
- De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Ongeldige certificaatketen
- De certificaten van de basiscertificeringsinstantie en alle tussenliggende certificaten van de certificaatautoriteit moeten in het certificaat worden opgenomen.
- De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Geen algemene naam gevonden in het leaf-certificaat - Alle certificaten moeten de algemene namen bevatten en mogen geen jokertekens (*) bevatten.
OPMERKING: OpenManage Enterprise biedt geen ondersteuning voor jokertekencertificaten (*). Het genereren van een CSR vanuit de webinterface met behulp van een jokerteken (*) in de DN-naam genereert de volgende fout:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- Er is geen client- en serverauthenticatie Extended Key Usage (EKU) aanwezig in leaf-certificaat
- Het certificaat moet zowel server- als clientauthenticatie bevatten voor uitgebreid sleutelgebruik.
- De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Controleer de certificaatgegevens voor verbeterd sleutelgebruik. Als een van beide ontbreekt, moet u ervoor zorgen dat de sjabloon die wordt gebruikt om het certificaat te genereren, voor beide is ingeschakeld.
- Ontbrekende sleutelversleuteling voor sleutelgebruik
- Het certificaat dat wordt geüpload, moet de sleutelcodering hebben die wordt vermeld voor sleutelgebruik.
- De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Controleer de certificaatgegevens voor sleutelgebruik. Zorg ervoor dat sleutelversleuteling is ingeschakeld voor de sjabloon die wordt gebruikt om het certificaat te genereren.
CSEC9002 - Kan het certificaat niet uploaden omdat het opgegeven certificaatbestand ongeldig is.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
De CSEC9002 fout wordt weergegeven als aan een van de volgende foutvoorwaarden wordt voldaan:
- Server-certificaat ontbreekt sleutelversleuteling
- Zorg ervoor dat sleutelversleuteling is ingeschakeld voor de sjabloon die wordt gebruikt om het certificaat te genereren. Wanneer u een certificaat gebruikt voor migratie, zorg er dan voor dat de volledige certificaatketen wordt geüpload in plaats van het enkele servercertificaat.
- De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Certificaatbestand bevat onjuiste codering
- Zorg ervoor dat het certificaatbestand is opgeslagen met behulp van Base 64-codering.
- De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Bewerking migratieverbindingsverificatie
Nadat de certificaatketen is geüpload, kan het migratieproces worden voortgezet met de volgende stap: een verbinding tot stand brengen tussen de bron- en doelconsoles. In deze stap verstrekt de OpenManage Enterprise-beheerder het IP-adres en de lokale beheerdersreferenties voor de bron- en doelconsoles.
De volgende items worden gecontroleerd bij het valideren van de verbinding:
- Uitgegeven aan en uitgegeven door : de namen van de certificaatautoriteiten in de keten tussen de bron- en doelcertificaten hebben dezelfde 'uitgegeven aan' en 'uitgegeven door'. Als deze namen niet overeenkomen, kan de bron of het doel niet controleren of dezelfde ondertekenende autoriteiten de certificaten hebben uitgegeven. Dit is cruciaal om te voldoen aan het Zero-Trust-beveiligingsframework.
Geldige certificaatketen tussen bron en doel
Broncertificaat |
|
|
Doelcertificaat |
|
Uitgegeven aan |
Uitgegeven door |
|
Uitgegeven aan |
Uitgegeven door |
OMENT-310 (bron) |
Inter-CA1 |
<-> |
OMENT-400 (doel) |
Inter-CA1 |
Inter-CA1 |
Root-CA |
<-> |
Inter-CA1 |
Root-CA |
Root-CA |
Root-CA |
<-> |
Root-CA |
Root-CA |
Ongeldige certificaatketen tussen bron en doel
Broncertificaat |
|
|
Doelcertificaat |
|
Uitgegeven aan |
Uitgegeven door |
|
Uitgegeven aan |
Uitgegeven door |
OMENT-310 (bron) |
Inter-CA1 |
X-toets |
OMENT-400 (doel) |
Inter-CA2 |
Inter-CA1 |
Root-CA |
X-toets |
Inter-CA2 |
Root-CA |
Root-CA |
Root-CA |
<-> |
Root-CA |
Root-CA |
- Geldigheidsduur - controleert de geldigheidsduur van het certificaat met de datum en tijd van het apparaat.
- Maximale diepte - controleer of de certificaatketen de maximale diepte van 10 leaf certificaten niet overschrijdt.
Als de certificaten niet aan de bovenstaande vereisten voldoen, wordt de volgende fout weergegeven bij het valideren van de consoleverbindingen:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Vereiste certificaatketen omzeilen
Als er problemen blijven optreden bij het uploaden van de vereiste certificaatketen, is er een ondersteunde methode die kan worden gebruikt om gebruik te maken van het zelfondertekende certificaat.
Ga verder met het gebruik van de back-up- en herstelfunctie zoals beschreven in het volgende artikel:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur