Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Rozwiązywanie problemów z łańcuchem certyfikatów wymaganym do migracji do urządzenia OpenManage Enterprise

Summary: Administratorzy urządzenia OpenManage Enterprise mogą napotkać kilka błędów podczas przesyłania łańcucha certyfikatów (CGEN1008 i CSEC9002) oraz weryfikacji połączenia. Poniżej znajduje się przewodnik, który może pomóc administratorom urządzeń OpenManage Enterprise w przypadku napotkania błędów na tym etapie procesu migracji. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Proces migracji urządzeń wykorzystuje wzajemny protokół uzgadniania hosta (mTLS). Ten typ uwierzytelniania wzajemnego jest używany w ramach modelu bezpieczeństwa Zero Trust, w którym domyślnie nic nie jest zaufane.
 
W typowej wymianie TLS serwer ma certyfikat TLS oraz parę kluczy publicznych i prywatnych. Klient weryfikuje certyfikat serwera, a następnie kontynuuje wymianę informacji za pośrednictwem zaszyfrowanej sesji. W przypadku protokołu mTLS zarówno klient, jak i serwer weryfikują certyfikat przed rozpoczęciem wymiany danych.
Schemat komunikacji między klientem mTLS a serwerem 
Każde urządzenie OpenManage Enterprise, które korzysta z certyfikatu podpisanego przez inną firmę, przed kontynuowaniem operacji migracji musi przesłać łańcuch certyfikatów. Łańcuch certyfikatów to uporządkowana lista certyfikatów zawierająca certyfikat SSL/TLS i certyfikaty urzędu certyfikacji (CA). Łańcuch rozpoczyna się od certyfikatu autonomicznego, po którym następują certyfikaty podpisane przez podmiot zidentyfikowany w następnym certyfikacie w łańcuchu.
  • Certyfikat = certyfikat (autonomiczny) podpisany przez urząd certyfikacji
  • Łańcuch certyfikatów = certyfikat podpisany przez urząd certyfikacji + pośredni certyfikat urzędu certyfikacji (jeśli istnieje) + certyfikat głównego urzędu certyfikacji
Łańcuch certyfikatów musi spełniać następujące wymagania, w przeciwnym razie administrator zostanie powiadomiony o błędach.
 

Wymagania dotyczące łańcucha certyfikatów w przypadku migracji 

  1. Klucz żądania podpisania certyfikatów jest zgodny — podczas przesyłania certyfikatu sprawdzany jest klucz żądania podpisania certyfikatów (CSR). Urządzenie OpenManage Enterprise obsługuje tylko przesyłanie certyfikatów, których to urządzenie zażądało za pomocą żądania podpisania certyfikatów (CSR). Sprawdzanie poprawności jest wykonywane podczas przesyłania zarówno certyfikatu pojedynczego serwera, jak i łańcucha certyfikatów.
  2. Kodowanie certyfikatów — plik certyfikatu wymaga kodowania Base 64. Dopilnuj, aby podczas zapisywania wyeksportowanego certyfikatu urzędu certyfikacji używane było kodowanie Base 64, w przeciwnym razie plik certyfikatu zostanie uznany za nieprawidłowy.
  3. Sprawdzenie poprawności użycia rozszerzonego klucza certyfikatu — sprawdź, czy użycie klucza jest włączone zarówno dla uwierzytelniania serwera, jak i uwierzytelniania klienta. Wynika to z faktu, że migracja jest dwukierunkową komunikacją między źródłem i obiektem docelowym, w której każdy z tych elementów może działać jako serwer i klient podczas wymiany informacji. W przypadku certyfikatów pojedynczego serwera wymagane jest tylko uwierzytelnianie serwera.
  4. Certyfikat jest włączony do szyfrowania klucza — szablon certyfikatu użyty do wygenerowania certyfikatu musi zawierać szyfrowanie klucza. Dzięki temu klucze w certyfikacie mogą być używane do szyfrowania komunikacji.
  5. Łańcuch certyfikatów z certyfikatem głównym — certyfikat zawiera pełny łańcuch z certyfikatem głównym. Jest to wymagane dla źródła i obiektu docelowego dla pewności, że oba elementy są zaufane. Certyfikat główny jest dodawany do zaufanego magazynu głównego każdego urządzenia. WAŻNE: Urządzenie OpenManage Enterprise obsługuje maksymalnie 10 certyfikatów leaf w łańcuchu certyfikatów.
  6. Wystawiony dla i wystawiony przez — certyfikat główny jest używany jako kotwica zaufania, a następnie używany do sprawdzania poprawności wszystkich certyfikatów w łańcuchu względem tej kotwicy zaufania. Upewnij się, że łańcuch certyfikatów zawiera certyfikat główny.
Przykładowy łańcuch certyfikatów
Wydany dla Wydany przez
OMENT (urządzenie) Inter-CA1
Inter-CA1 Root-CA
Root-CA Root-CA


Operacja przesyłania łańcucha certyfikatów

Po uzyskaniu pełnego łańcucha certyfikatów administrator OpenManage Enterprise musi przesłać łańcuch za pośrednictwem internetowego interfejsu użytkownika — „Ustawienia aplikacji —> Zabezpieczenia — Certyfikaty”.
 
Jeśli certyfikat nie spełnia wymagań, w internetowym interfejsie użytkownika zostanie wyświetlony jeden z następujących błędów:
  • CGEN1008 — nie można przetworzyć żądania, ponieważ wystąpił błąd
  • CSEC9002 — nie można przekazać certyfikatu, ponieważ dostarczony plik certyfikatu jest nieprawidłowy.
W poniższych sekcjach przedstawiono błędy, wyzwalacze warunkowe i sposoby ich korygowania.

CGEN1008 — nie można przetworzyć żądania, ponieważ wystąpił błąd.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Błąd przesyłania certyfikatu CGEN1008 Nie można przetworzyć żądania, ponieważ wystąpił błąd 
Błąd CGEN1008 jest wyświetlany, jeśli spełniony jest którykolwiek z następujących warunków błędu:
  • Nieprawidłowy klucz CSR dla łańcucha certyfikatów
    • Upewnij się, że certyfikat został wygenerowany przy użyciu CSR z internetowego interfejsu użytkownika urządzenia OpenManage Enterprise. Urządzenie OpenManage Enterprise nie obsługuje przesyłania certyfikatu, który nie został wygenerowany przy użyciu CSR z tego samego urządzenia.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Invalid certificate chain
    • Certyfikat główny i wszystkie pośrednie certyfikaty urzędów certyfikacji muszą być zawarte w certyfikacie.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • W certyfikacie leaf nie znaleziono nazwy wspólnej — wszystkie certyfikaty muszą zawierać nazwy wspólne i nie mogą zawierać żadnych symboli wieloznacznych (*).
UWAGA: Urządzenie OpenManage Enterprise nie obsługuje certyfikatów z symbolami wieloznacznymi (*). Generowanie żądania CSR z internetowego interfejsu użytkownika przy użyciu symbolu wieloznacznego (*) w wyróżnionej nazwie powoduje wygenerowanie następującego błędu:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Błąd przekazywania certyfikatu CGEN6002 Nie można ukończyć żądania, ponieważ brakuje wartości wejściowej dla DistinguishedName lub wprowadzono nieprawidłową wartość 
  • W certyfikacie leaf nie ma rozszerzonego użycia klucza (EKU) uwierzytelniania klienta i serwera
    • Aby można było korzystać z klucza rozszerzonego, certyfikat musi zawierać zarówno uwierzytelnienie serwera, jak i klienta.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • przejrzyj szczegóły certyfikatu, aby uzyskać informacje na temat użycia klucza rozszerzonego. Jeśli brakuje któregokolwiek z nich, upewnij się, że szablon użyty do wygenerowania certyfikatu jest włączony dla obu.
Szczegóły certyfikatu pokazujące użycie klucza rozszerzonego do uwierzytelniania serwera i klienta 
  • Brak szyfrowania klucza dla użycia klucza
    • W celu użycia klucza przesyłany certyfikat musi zawierać informację o szyfrowaniu klucza.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • przejrzyj szczegóły certyfikatu, aby uzyskać informacje na temat użycia klucza. Upewnij się, że szablon użyty do wygenerowania certyfikatu ma włączone szyfrowanie klucza.
Szczegóły certyfikatu pokazujące użycie klucza w celu szyfrowania klucza 
 

CSEC9002 — nie można przekazać certyfikatu, ponieważ dostarczony plik certyfikatu jest nieprawidłowy.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Błąd przesyłania certyfikatu CSEC9002 Nie można przesłać certyfikatu, ponieważ dostarczony plik certyfikatu jest nieprawidłowy.
 
Błąd CSEC9002 jest wyświetlany, jeśli spełniony jest którykolwiek z następujących warunków błędu: 
  • Brak szyfrowania klucza certyfikatu serwera
    • Upewnij się, że szablon użyty do wygenerowania certyfikatu ma włączone szyfrowanie klucza. W przypadku korzystania z certyfikatu w celu migracji należy upewnić się, że przekazano pełny łańcuch certyfikatów, a nie certyfikat pojedynczego serwera.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Plik certyfikatu zawiera nieprawidłowe kodowanie
    • Upewnij się, że plik certyfikatu został zapisany przy użyciu kodowania Base 64.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operacja weryfikacji połączenia migracji

Po pomyślnym przesłaniu łańcucha certyfikatów proces migracji może przejść do kolejnego kroku — nawiązania połączenia między konsolą źródłową i docelową. W tym kroku administrator OpenManage Enterprise dostarcza adres IP i poświadczenia administratora lokalnego dla konsoli źródłowej i docelowej.
 
Podczas sprawdzania poprawności połączenia sprawdzane są następujące elementy:
  • Wystawiony dla i wystawiony przez — nazwy urzędów certyfikacji w łańcuchu między certyfikatami źródłowymi i docelowymi mają takie same wartości „wystawiony dla” i „wystawiony przez”. Jeśli te nazwy nie są zgodne, źródło lub obiekt docelowy nie mogą zweryfikować, czy certyfikaty wystawiły te same podpisujące urzędy certyfikacji. Ma to kluczowe znaczenie dla przestrzegania zasad bezpieczeństwa modelu „zero-trust”.
Prawidłowy łańcuch certyfikatów między źródłem i obiektem docelowym
Certyfikat źródłowy     Certyfikat docelowy  
Wydany dla Wydany przez   Wydany dla Wydany przez
OMENT-310 (źródło) Inter-CA1 <-> OMENT-400 (obiekt docelowy) Inter-CA1
Inter-CA1 Root-CA <-> Inter-CA1 Root-CA
Root-CA Root-CA <-> Root-CA Root-CA
 
 
Nieprawidłowy łańcuch certyfikatów między źródłem i obiektem docelowym
Certyfikat źródłowy     Certyfikat docelowy  
Wydany dla Wydany przez   Wydany dla Wydany przez
OMENT-310 (źródło) Inter-CA1 X OMENT-400 (obiekt docelowy) Inter-CA2
Inter-CA1 Root-CA X Inter-CA2 Root-CA
Root-CA Root-CA <-> Root-CA Root-CA
 
  • Okres ważności — sprawdza okres ważności certyfikatu z datą i godziną urządzenia.
  • Maksymalna głębokość — sprawdź, czy łańcuch certyfikatów nie przekracza maksymalnej głębokości 10 certyfikatów leaf.
Jeśli certyfikaty nie spełniają powyższych wymagań, podczas próby zweryfikowania połączeń konsoli pojawia się następujący błąd:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Migration connection validation error - Unable to mutually authenticate and connect to remote appliance. 

Obejście wymagania dotyczącego łańcucha certyfikatów

Jeśli nadal występują problemy z przesyłaniem wymaganego łańcucha certyfikatów, istnieje obsługiwana metoda, której można użyć do wykorzystania certyfikatu z podpisem własnym.

Kontynuuj korzystanie z funkcji tworzenia kopii zapasowych i przywracania w sposób opisany w następującym artykule:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Affected Products

Dell EMC OpenManage Enterprise
Article Properties
Article Number: 000221202
Article Type: How To
Last Modified: 11 Jun 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.