Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dépannage des problèmes liés à la chaîne de certificats requise pour la migration d’OpenManage Enterprise

Summary: Les administrateurs OpenManage Enterprise peuvent rencontrer plusieurs erreurs au cours de la phase de téléchargement de la chaîne de certificats (CGEN1008 et CSEC9002) et de vérification de la connexion. Le guide suivant aide les administrateurs OpenManage Enterprise s’ils rencontrent des erreurs au cours de cette étape du processus de migration. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Le processus de migration de l’appliance utilise le protocole TLS mutuel (mTLS). Ce type d’authentification mutuelle est utilisé dans un cadre de sécurité Zero-Trust, où rien n’est approuvé par défaut.
 
Dans un échange TLS classique, le serveur détient le certificat TLS et la paire de clés publique/privée. Le client vérifie le certificat du serveur, puis procède à l’échange d’informations via une session chiffrée. Avec le protocole mTLS, le client et le serveur vérifient le certificat avant de commencer à échanger des données.
Schéma de communication entre le client et le serveur mTLS 
Toute appliance OpenManage Enterprise faisant appel à un certificat signé par un tiers doit télécharger la chaîne de certificats avant de procéder à une opération de migration. Une chaîne de certificats est une liste ordonnée de certificats contenant un certificat SSL/TLS et des certificats d’autorité de certification (CA). La chaîne commence par le certificat autonome, suivi des certificats signés par l’entité identifiée dans le certificat suivant de la chaîne.
  • Certificat = Certificat signé par une autorité de certification (autonome)
  • Chaîne de certificat = Certificat signé par une autorité de certification + certificat d’autorité de certification intermédiaire (le cas échéant) + certificat d’autorité de certification racine
La chaîne de certificats doit répondre aux exigences suivantes, faute de quoi l’administrateur reçoit des messages d’erreur.
 

Exigences relatives à la chaîne de certificats pour la migration 

  1. Correspondances de clés des demandes de signature de certificat : lors du téléchargement du certificat, la clé de la demande de signature de certificat (CSR) est vérifiée. OpenManage Enterprise prend uniquement en charge le téléchargement des certificats demandés à l’aide de la demande de signature de certificat (CSR) envoyée par cette appliance. Ce contrôle de validation a lieu lors du téléchargement d’un certificat de serveur unique et d’une chaîne de certificats.
  2. Codage du certificat : le fichier de certificat nécessite un codage en base 64. Assurez-vous que le codage en base 64 est utilisé lors de l’enregistrement du certificat exporté à partir de l’autorité de certification, auquel cas le fichier de certificat est considéré comme non valide.
  3. Valider l’utilisation améliorée des clés par le certificat : assurez-vous que l’utilisation des clés est activée pour l’authentification du serveur et l’authentification du client. En effet, la migration est une communication bidirectionnelle entre la source et la cible, où l’une ou l’autre peut faire office de serveur et de client pendant l’échange d’informations. Pour les certificats de serveur uniques, seule l’authentification du serveur est requise.
  4. Le certificat est activé pour le chiffrement des clés : le modèle de certificat utilisé pour générer le certificat doit inclure le chiffrement des clés. Cela permet de s’assurer que les clés du certificat peuvent être utilisées pour chiffrer les communications.
  5. Chaîne de certificats avec certificat racine : le certificat contient la chaîne complète qui inclut le certificat racine. Cette chaîne est nécessaire pour vérifier que la source et la cible sont toutes deux fiables. Le certificat racine est ajouté au magasin racine de confiance de chaque appliance. IMPORTANT : OpenManage Enterprise prend en charge 10 certificats Leaf maximum dans la chaîne de certificats.
  6. Émis à et Émis par : le certificat racine est utilisé comme ancre d’approbation, puis sert à valider tous les certificats de la chaîne par rapport à cette ancre d’approbation. Assurez-vous que la chaîne de certificats inclut le certificat racine.
Exemple de chaîne de certificats
Émis à Émis par
OMENT (appliance) CA1-Inter
CA1-Inter CA-Racine
CA-Racine CA-Racine


Opération de téléchargement de chaîne de certificats

Une fois la chaîne de certificats complète obtenue, l’administrateur OpenManage Enterprise doit la télécharger via l’interface utilisateur Web : « Paramètres d’application -> Sécurité - Certificats ».
 
Si le certificat ne répond pas aux exigences, l’une des erreurs suivantes s’affiche dans l’interface utilisateur Web :
  • CGEN1008 - Impossible de traiter la demande en raison d’une erreur
  • CSEC9002 - Impossible de télécharger le certificat, car le fichier de certificat fourni n’est pas valide.
Les sections suivantes mettent en évidence les erreurs, les déclencheurs conditionnels et la mesure corrective.

CGEN1008 - Impossible de traiter la demande en raison d’une erreur.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Erreur de téléchargement du certificat CGEN1008 Impossible de traiter la demande en raison d’une erreur 
L’erreur CGEN1008 s’affiche si l’une des conditions d’erreur suivantes est remplie :
  • Clé de la CSR non valide pour la chaîne de certificats
    • Assurez-vous que le certificat a été généré à l’aide de la CSR à partir de l’interface utilisateur Web d’OpenManage Enterprise. OpenManage Enterprise ne prend pas en charge le téléchargement d’un certificat qui n’a pas été généré à l’aide de la CSR à partir de la même appliance.
    • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Chaîne de certificats non valide
    • Le certificat racine et tous les certificats des autorités de certification intermédiaires doivent être inclus dans le certificat.
    • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Aucun nom commun trouvé dans le certificat Leaf : tous les certificats doivent inclure les noms communs et ne pas contenir de caractères génériques (*).
Remarque : OpenManage Enterprise ne prend pas en charge les certificats contenant des caractères génériques (*). La génération d’une CSR à partir de l’interface utilisateur Web, dont le nom unique comporte un caractère générique (*), génère l’erreur suivante :
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Erreur de téléchargement du certificat CGEN6002 Impossible de terminer la demande, car la valeur d’entrée pour DistinguishedName est manquante ou une valeur non valide a été saisie 
  • Aucune utilisation étendue des clés (EKU) pour l’authentification du client et du serveur n’est présente dans le certificat Leaf
    • Le certificat doit inclure à la fois l’authentification du serveur et l’authentification du client pour l’utilisation étendue des clés.
    • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Passez en revue les détails du certificat pour mieux utiliser les clés. Si l’une ou l’autre clé est manquante, assurez-vous que le modèle utilisé pour générer le certificat est activé pour les deux clés.
Détails du certificat montrant une utilisation améliorée des clés pour l’authentification du serveur et du client 
  • Chiffrement des clés manquant pour l’utilisation des clés
    • Le chiffrement des clés doit être répertorié dans le certificat en cours de téléchargement pour l’utilisation des clés.
    • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Passez en revue les détails du certificat pour l’utilisation des clés. Assurez-vous que le chiffrement des clés est activé dans le modèle utilisé pour générer le certificat.
Détails du certificat indiquant l’utilisation des clés pour le chiffrement des clés 
 

CSEC9002 - Impossible de télécharger le certificat, car le fichier de certificat fourni n’est pas valide.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Erreur de téléchargement du certificat CSEC9002 Impossible de télécharger le certificat, car le fichier de certificat fourni n’est pas valide.
 
L’erreur CSEC9002 s’affiche si l’une des conditions d’erreur suivantes est remplie : 
  • Chiffrement de clé manquant pour le certificat de serveur
    • Assurez-vous que le chiffrement des clés est activé dans le modèle utilisé pour générer le certificat. Lorsque vous utilisez un certificat pour la migration, assurez-vous que la chaîne de certificats complète est chargée, et non le certificat de serveur unique.
    • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Le fichier de certificat contient un codage incorrect
    • Assurez-vous que le fichier de certificat a été enregistré à l’aide du codage en base 64.
    • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Opération de vérification de la connexion de migration

Une fois la chaîne de certificats téléchargée, le processus de migration peut passer à l’étape suivante, à savoir établir la connexion entre les consoles source et cible. Au cours de cette étape, l’administrateur OpenManage Enterprise fournit l’adresse IP et les informations d’identification de l’administrateur local pour les consoles source et cible.
 
Les éléments suivants sont vérifiés lors de la validation de la connexion :
  • Émis à et Émis par : les noms des autorités de certification de la chaîne entre chaque certificat source et chaque certificat cible comportent les mêmes éléments « Émis à » et « Émis par ». Si ces noms ne correspondent pas, la source ou la cible ne peut pas vérifier que les mêmes autorités de signature ont émis les certificats. Ceci est essentiel pour respecter le cadre de sécurité Zero-Trust.
Chaîne de certificats valide entre la source et la cible
Certificat source     Certificat cible  
Émis à Émis par   Émis à Émis par
OMENT-310 (source) CA1-Inter <-> OMENT-400 (cible) CA1-Inter
CA1-Inter CA-Racine <-> CA1-Inter CA-Racine
CA-Racine CA-Racine <-> CA-Racine CA-Racine
 
 
Chaîne de certificats non valide entre la source et la cible
Certificat source     Certificat cible  
Émis à Émis par   Émis à Émis par
OMENT-310 (source) CA1-Inter X OMENT-400 (cible) Inter-CA2
CA1-Inter CA-Racine X Inter-CA2 CA-Racine
CA-Racine CA-Racine <-> CA-Racine CA-Racine
 
  • Période de validité : vérifie la période de validité du certificat avec la date et l’heure de l’appliance.
  • Profondeur maximale : vérifiez que la chaîne de certificats ne dépasse pas la profondeur maximale de 10 certificats Leaf.
Si les certificats ne répondent pas aux exigences ci-dessus, l’erreur suivante s’affiche lors de la tentative de validation des connexions de la console :
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Erreur de validation de la connexion de migration - Impossible de s’authentifier mutuellement et de se connecter à l’appliance distante. 

Contournement des exigences relatives à la chaîne de certificats

Si les problèmes persistent lors du téléchargement de la chaîne de certificats requise, une méthode prise en charge permet d’utiliser le certificat auto-signé.

Utilisez la fonctionnalité de sauvegarde et de restauration conformément aux instructions de l’article suivant :
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Affected Products

Dell EMC OpenManage Enterprise
Article Properties
Article Number: 000221202
Article Type: How To
Last Modified: 11 Jun 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.