裝置遷移程序會使用相互 TLS (mTLS)。這種類型的相互驗證會用在預設為全部不信任的零信任安全框架中。
在典型的 TLS 交換中,伺服器有 TLS 憑證以及公開與私人金鑰組。用戶端會驗證伺服器憑證,然後繼續通過加密工作階段交換資訊。使用 mTLS,客戶端和伺服器在開始交換任何資料之前都會驗證其憑證。
任何利用第三方簽署憑證的 OpenManage Enterprise 裝置都必須先上傳憑證鏈結,才能繼續進行遷移作業。憑證鏈結是包含 SSL/TLS 憑證和認證機構 (CA) 憑證的憑證排序清單。鏈結的開頭是獨立憑證,接著是由鏈結的下一個憑證中識別的實體簽署憑證。
- 憑證 = CA 簽署憑證 (獨立)
- 憑證鏈結 = CA 簽署憑證 + 中繼 CA 憑證 (若有) + 根 CA 憑證
憑證鏈結必須符合下列需求,否則系統管理員會看到錯誤。
遷移的憑證鏈結要求
- 憑證簽署要求金鑰相符 - 在憑證上傳期間,會檢查憑證簽署要求 (CSR) 金鑰。OpenManage Enterprise 僅支援上傳該裝置使用憑證簽署要求 (CSR) 要求的憑證。此驗證檢查會在上傳單一伺服器憑證和憑證鏈結期間執行。
- 憑證編碼 - 認證檔案需要 Base 64 編碼。請確定在儲存從認證機構匯出的憑證時會使用 Base 64 編碼,否則會將此認證檔案視為無效。
- 驗證憑證增強金鑰使用 - 檢查以確保啟用伺服器驗證和用戶端驗證的金鑰使用情形。這是因為遷移是來源和目標之間的雙向通訊,其中任何一方都可以在資訊交換期間充當伺服器和用戶端。對於單個伺服器憑證,只需要伺服器驗證。
- 憑證已啟用金鑰加密 - 用於產生憑證的憑證範本必須包含金鑰加密。這可確保憑證中的金鑰可用於加密通訊。
- 具有根憑證的憑證鏈結 - 憑證包含其中有根憑證的完整鏈結。來源和目標皆需要,以確保兩者都可以信任。根憑證會新增至每個裝置的受信任根存放區中。重要:OpenManage Enterprise 支援憑證鏈結中最多 10 個分葉憑證。
- 核發對象和核發者 - 根憑證作為信任錨,然後根據該信任錨用於驗證鏈中的所有憑證。確保憑證鏈結包含根憑證。
範例憑證鏈結
核發對象 |
核發者 |
OMENT (裝置) |
Inter-CA1 |
Inter-CA1 |
Root-CA |
Root-CA |
Root-CA |
憑證鏈結上傳作業
取得完整的憑證鏈結後,OpenManage Enterprise 系統管理員必須透過 Web UI -「應用程式設定 -> 安全性 - 憑證」上傳鏈結。
如果憑證不符合要求,Web UI 中會顯示下列其中一個錯誤:
- CGEN1008 - 無法處理要求,因為發生錯誤
- CSEC9002 - 無法上傳憑證,因為提供的認證檔案無效。
以下部分會強調顯示錯誤、條件式觸發以及如何補救。
CGEN1008 - 無法處理要求,因為發生錯誤。
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
如果符合下列任一錯誤條件,就會顯示
CGEN1008 錯誤:
- 無效的憑證鏈結 CSR 金鑰
- 請確定憑證是使用 OpenManage Enterprise Web UI 的 CSR 產生。OpenManage Enterprise 不支援上傳非使用相同裝置的 CSR 產生的憑證。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 無效的憑證鏈結
- 根和所有中繼認證機構的憑證必須包含在憑證中。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 在分葉憑證中找不到通用名稱 - 所有憑證必須包含通用名稱,且不包含任何萬用字元 (*)。
注意:OpenManage Enterprise 不支援萬用字元 (*) 憑證。在辨別名稱中使用萬用字元 (*) 從 Web UI 產生 CSR 會產生下列錯誤:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- 在分葉憑證中不存在用戶端和伺服器認證擴充金鑰使用 (EKU)
- 憑證必須包括擴充金鑰使用的伺服器和用戶端驗證。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 檢閱增強金鑰使用的憑證詳細資訊。如果缺少任一項,請確定兩者用於產生憑證用的範本皆已啟用。
- 缺少金鑰使用的金鑰加密
- 要上傳的憑證必須列出金鑰加密,以供金鑰使用。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 檢閱金鑰使用的憑證詳細資訊。請確定用於產生憑證的範本已啟用金鑰加密。
CSEC9002 - 無法上傳憑證,因為提供的認證檔案無效。
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
如果符合下列任一錯誤條件,就會顯示 CSEC9002 錯誤:
- 伺服器憑證缺少金鑰加密
- 請確定用於產生憑證的範本已啟用金鑰加密。使用憑證以進行遷移時,請確定已上傳完整的憑證鏈結,而非單一伺服器憑證。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- 認證檔案包含錯誤的編碼
- 請確定認證檔案是以 Base 64 編碼儲存。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
遷移連線驗證作業
成功上傳憑證鏈結後,遷移過程可以繼續執行下一步 - 在來源和目標主控台之間建立連線。在此步驟中,OpenManage Enterprise 系統管理員會提供來源和目標主控台的 IP 位址和本機系統管理員登入資料。
驗證連線時,會檢查下列項目:
- 核發對象和核發者 - 在每個來源憑證和目標憑證之間的鏈結中認證機構的名稱具有相同的「核發對象」和「核發者」。如果這些名稱不相符,則來源或目標無法驗證憑證是否由相同的簽署機構核發。這對於遵守零信任安全性框架至關重要。
來源和目標之間的有效憑證鏈結
來源憑證 |
|
|
目標憑證 |
|
核發對象 |
核發者 |
|
核發對象 |
核發者 |
OMENT-310 (來源) |
Inter-CA1 |
<-> |
OMENT-400 (目標) |
Inter-CA1 |
Inter-CA1 |
Root-CA |
<-> |
Inter-CA1 |
Root-CA |
Root-CA |
Root-CA |
<-> |
Root-CA |
Root-CA |
來源和目標之間的無效憑證鏈結
來源憑證 |
|
|
目標憑證 |
|
核發對象 |
核發者 |
|
核發對象 |
核發者 |
OMENT-310 (來源) |
Inter-CA1 |
X |
OMENT-400 (目標) |
Inter-CA2 |
Inter-CA1 |
Root-CA |
X |
Inter-CA2 |
Root-CA |
Root-CA |
Root-CA |
<-> |
Root-CA |
Root-CA |
- 有效期 - 根據裝置的日期與時間檢查憑證有效期。
- 最大深度 - 驗證憑證鏈結不超過 10 個分葉憑證的最大深度。
如果憑證不符合上述需求,則在嘗試驗證主控台連線時,會看到下列錯誤:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
略過憑證鏈結要求
如果上傳所需的憑證鏈結持續發生問題,則有一種支援的方法可用於使用自我簽署憑證。
繼續執用下列文章所述的備份及還原功能:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur