Migreringsprocessen för installationen utnyttjar ömsesidig TLS (mTLS). Den här typen av ömsesidig autentisering används inom ett Nolltillit säkerhetsramverk där ingenting är betrott som standard.
I ett typiskt TLS-utbyte innehåller servern TLS-certifikatet och det offentliga och privata nyckelparet. Klienten verifierar servercertifikatet och fortsätter sedan med att utbyta information via en krypterad session. Med mTLS verifierar både klienten och servern certifikatet innan de börjar utbyta data.
Alla OpenManage Enterprise-enheter som använder ett signerat certifikat från tredje part måste ladda upp certifikatkedjan innan de fortsätter med en migreringsåtgärd. En certifikatkedja är en ordnad lista över certifikat som innehåller ett SSL/TLS-certifikat och certifikat från certifikatutfärdare (CA). Kedjan börjar med det fristående certifikatet och följs av certifikat som signeras av den entitet som identifieras i nästa certifikat i kedjan.
- Certifikat = CA-signerat certifikat (fristående)
- Certifikatkedja = CA-signerat certifikat + mellanliggande CA-certifikat (om sådant finns) + rotcertifikatutfärdarcertifikat
Certifikatkedjan måste uppfylla följande krav, annars får administratören fel.
Krav på certifikatkedja för migrering
- Nyckelmatchningar för begäran om certifikatsignering – Under överföringen av certifikatet kontrolleras CSR-nyckeln (Certificate Signing Request). OpenManage Enterprise stöder endast uppladdning av certifikat som begärs med hjälp av CSR (Certificate Signed Request) av enheten. Den här valideringskontrollen utförs under en uppladdning för både ett enskilt servercertifikat och en certifikatkedja.
- Certifikatkodning – Certifikatfilen kräver Base 64-kodning. Se till att Base 64-kodning används när du sparar det exporterade certifikatet från certifikatutfärdaren, annars anses certifikatfilen vara ogiltig.
- Verifiera förbättrad nyckelanvändning för certifikat – Kontrollera att nyckelanvändning är aktiverad för både serverautentisering och klientautentisering. Detta beror på att migreringen är tvåvägskommunikation mellan både källan och målet där båda kan fungera som en server och en klient under informationsutbytet. För enskilda servercertifikat krävs endast serverautentiseringen.
- Certifikatet är aktiverat för nyckelchiffrering – Certifikatmallen som används för att generera certifikatet måste innehålla nyckelchiffrering. Detta säkerställer att nycklarna i certifikatet kan användas för att kryptera kommunikationen.
- Certifikatkedja med rotcertifikat – Certifikatet innehåller den fullständiga kedjan som innehåller rotcertifikatet. Detta krävs för källan och målet för att säkerställa att båda är betrodda. Rotcertifikatet läggs till i varje enhets betrodda rotarkiv. VIKTIGT! OpenManage Enterprise har stöd för högst tio lövcertifikat i certifikatkedjan.
- Utfärdat till och utfärdat av – Rotcertifikatet används som förtroendeankare och används sedan för att verifiera alla certifikat i kedjan mot det förtroendeankaret. Kontrollera att certifikatkedjan innehåller rotcertifikatet.
Exempel på certifikatkedja
Utfärdad till |
Utfärdat av |
OMENT (enhet) |
Inter-CA1 |
Inter-CA1 |
Rot-CA |
Rot-CA |
Rot-CA |
Överföringsåtgärd för certifikatkedja
När den fullständiga certifikatkedjan har hämtats måste OpenManage Enterprise-administratören ladda upp kedjan via webbgränssnittet – "Programinställningar –> Säkerhet – Certifikat".
Om certifikatet inte uppfyller kraven visas något av följande fel i webbgränssnittet:
- CGEN1008 – Det gick inte att bearbeta begäran eftersom ett fel uppstod
- CSEC9002 – Det går inte att ladda upp certifikatet eftersom den angivna certifikatfilen är ogiltig.
I följande avsnitt beskrivs fel, villkorsstyrda utlösare och hur du åtgärdar.
CGEN1008 – Det gick inte att bearbeta begäran eftersom ett fel inträffade.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Det
CGEN1008 felet visas om något av följande feltillstånd är uppfyllt:
- Ogiltig CSR-nyckel för certifikatkedjan
- Kontrollera att certifikatet har genererats med CSR från OpenManage Enterprise-webbgränssnittet. OpenManage Enterprise stöder inte överföring av certifikat som inte har genererats med CSR från samma enhet.
- Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Ogiltig certifikatkedja
- Rotcertifikatet och alla mellanliggande certifikatutfärdares certifikat måste inkluderas i certifikatet.
- Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Inget eget namn hittades i lövcertifikatet – Alla certifikat måste innehålla de gemensamma namnen och får inte innehålla några jokertecken (*).
Obs! OpenManage Enterprise har inte stöd för jokerteckencertifikat (*). Om du genererar en CSR från webbgränssnittet med ett jokertecken (*) i det unika namnet genereras följande fel:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- Ingen utökad nyckelanvändning för klient- och serverautentisering (EKU) finns i lövcertifikatet
- Certifikatet måste innehålla både server- och klientautentisering för utökad nyckelanvändning.
- Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Granska certifikatinformationen för förbättrad nyckelanvändning. Om någon av dem saknas kontrollerar du att mallen som används för att generera certifikatet är aktiverad för båda.
- Nyckelchiffrering saknas för nyckelanvändning
- Certifikatet som laddas upp måste ha nyckelchiffreringen listad för nyckelanvändning.
- Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Granska certifikatinformationen för nyckelanvändning. Kontrollera att mallen som används för att generera certifikatet har nyckelkryptering aktiverad.
CSEC9002 – Det går inte att ladda upp certifikatet eftersom den angivna certifikatfilen är ogiltig.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Det CSEC9002 felet visas om något av följande feltillstånd är uppfyllt:
- Nyckelchiffrering för servercertifikat saknas
- Kontrollera att mallen som används för att generera certifikatet har nyckelkryptering aktiverad. När du använder ett certifikat för migrering ska du se till att hela certifikatkedjan laddas upp i stället för det enskilda servercertifikatet.
- Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Certifikatfilen innehåller fel kodning
- Kontrollera att certifikatfilen sparades med Base 64-kodning.
- Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Verifiering av migreringsanslutning
När du har laddat upp certifikatkedjan kan migreringsprocessen fortsätta med nästa steg – att upprätta en anslutning mellan käll- och målkonsolerna. I det här steget tillhandahåller OpenManage Enterprise-administratören IP-adressen och lokala administratörsuppgifter för käll- och målkonsolerna.
Följande objekt kontrolleras när anslutningen verifieras:
- Utfärdat till och utfärdat av – Namnen på certifikatutfärdarna i kedjan mellan varje käll- och målcertifikat har samma "utfärdat till" och "utfärdat av". Om dessa namn inte matchar kan källan eller målet inte verifiera att samma signeringsutfärdare har utfärdat certifikaten. Detta är avgörande för att följa Zero-Trust-säkerhetsramverket.
Giltig certifikatkedja mellan källa och mål
Källcertifikat |
|
|
Målcertifikat |
|
Utfärdad till |
Utfärdat av |
|
Utfärdad till |
Utfärdat av |
OMENT-310 (källa) |
Inter-CA1 |
<-> |
OMENT-400 (mål) |
Inter-CA1 |
Inter-CA1 |
Rot-CA |
<-> |
Inter-CA1 |
Rot-CA |
Rot-CA |
Rot-CA |
<-> |
Rot-CA |
Rot-CA |
Ogiltig certifikatkedja mellan källa och mål
Källcertifikat |
|
|
Målcertifikat |
|
Utfärdad till |
Utfärdat av |
|
Utfärdad till |
Utfärdat av |
OMENT-310 (källa) |
Inter-CA1 |
X |
OMENT-400 (mål) |
Inter-CA2 |
Inter-CA1 |
Rot-CA |
X |
Inter-CA2 |
Rot-CA |
Rot-CA |
Rot-CA |
<-> |
Rot-CA |
Rot-CA |
- Giltighetsperiod – kontrollerar certifikatets giltighetsperiod med datum och tid för installationen.
- Maximalt djup – kontrollera att certifikatkedjan inte överskrider det maximala djupet på 10 lövcertifikat.
Om certifikaten inte uppfyller ovanstående krav visas följande fel när du försöker verifiera konsolanslutningarna:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Kringgå krav på certifikatkedja
Om det fortfarande finns problem med att ladda upp den certifikatkedja som krävs finns det en metod som stöds och som kan användas för att utnyttja det självsignerade certifikatet.
Fortsätt med att använda funktionen för säkerhetskopiering och återställning enligt beskrivningen i följande artikel:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur