Für den Appliance-Migrationsprozess wird mTLS (mutual TLS) verwendet. Diese Art der gegenseitigen Authentifizierung wird in einem Zero-Trust-Sicherheitsframework verwendet, in dem standardmäßig nichts vertrauenswürdig ist.
Bei einem normalen TLS-Austausch verfügt der Server über das TLS-Zertifikat sowie über den öffentlichen und privaten Schlüssel (Schlüsselpaar). Der Client überprüft das Serverzertifikat und beginnt dann mit dem Austausch von Informationen über eine verschlüsselte Sitzung. Bei mTLS überprüfen sowohl der Client als auch der Server das Zertifikat, bevor sie mit dem Austausch von Daten beginnen.
Für jede OpenManage Enterprise-Appliance, die ein von einem Drittanbieter signiertes Zertifikat nutzt, muss die Zertifikatkette hochgeladen werden, bevor ein Migrationsvorgang gestartet werden kann. Eine Zertifikatkette ist eine geordnete Liste von Zertifikaten, die ein SSL/TLS-Zertifikat und Zertifikate einer Zertifizierungsstelle (Certificate Authority, CA) enthält. Die Kette beginnt mit dem eigenständigen Zertifikat, gefolgt von Zertifikaten, die von der Zertifizierungsstelle signiert wurden, die im nächsten Zertifikat in der Kette angegeben ist.
- Zertifikat = CA-signiertes Zertifikat (eigenständig)
- Zertifikatkette = CA-signiertes Zertifikat + CA-Zwischenzertifikat (falls vorhanden) + CA-Stammzertifikat
Die Zertifikatkette muss die folgenden Anforderungen erfüllen, andernfalls werden AdministratorInnen Fehler angezeigt.
Anforderungen an die Zertifikatkette für die Migration
- Schlüssel für die Zertifikatsignieranforderung (CSR) stimmt überein: Während des Uploads des Zertifikats wird der CSR-Schlüssel (Certificate Signing Request) überprüft. OpenManage Enterprise unterstützt nur das Hochladen von Zertifikaten, die mit der Zertifikatsignieranforderung (CSR) dieser Appliance angefordert wurden. Diese Validierungsprüfung wird sowohl für ein einzelnes Serverzertifikat als auch für eine Zertifikatkette während des Uploads durchgeführt.
- Zertifikatcodierung: Die Zertifikatdatei erfordert eine Base-64-Codierung. Stellen Sie sicher, dass beim Speichern des exportierten Zertifikats der Zertifizierungsstelle Base-64-Kodierung verwendet wird, da die Zertifikatdatei andernfalls als ungültig betrachtet wird.
- Erweiterte Schlüsselverwendung für die Zertifikatvalidierung: Stellen Sie sicher, dass die Schlüsselverwendung sowohl für die Serverauthentifizierung als auch für die Client-Authentifizierung aktiviert ist. Dies ist notwendig, da es sich bei der Migration um eine bidirektionale Kommunikation zwischen Quelle und Ziel handelt, wobei während des Informationsaustauschs beide als Server und Client fungieren können. Bei einzelnen Serverzertifikaten ist nur die Serverauthentifizierung erforderlich.
- Zertifikat ist für Schlüsselchiffrierung aktiviert: Die Zertifikatvorlage, die zum Erzeugen des Zertifikats verwendet wird, muss Schlüsselchiffrierung enthalten. Dadurch wird sichergestellt, dass die Schlüssel im Zertifikat für die Verschlüsselung der Kommunikation verwendet werden können.
- Zertifikatkette mit Stammzertifikat: Das Zertifikat enthält die vollständige Kette, die das Stammzertifikat enthält. Dies ist sowohl für die Quelle als auch für das Ziel erforderlich, um sicherzustellen, dass beide vertrauenswürdig sind. Das Stammzertifikat wird dem vertrauenswürdigen Stammspeicher jeder Appliance hinzugefügt. WICHTIG: OpenManage Enterprise unterstützt maximal 10 Endzertifikate innerhalb der Zertifikatkette.
- „Ausgestellt für“ und „Ausgestellt von“: Das Stammzertifikat dient als Vertrauensanker und wird verwendet, um alle Zertifikate in der Kette anhand dieses Vertrauensankers zu validieren. Stellen Sie sicher, dass die Zertifikatkette das Stammzertifikat enthält.
Beispiel für eine Zertifikatkette
Ausgestellt für |
Ausgestellt von |
OMENT (Appliance) |
Zwischen-CA1 |
Zwischen-CA1 |
Stamm-CA |
Stamm-CA |
Stamm-CA |
Hochladen der Zertifikatkette
Sobald die vollständige Zertifikatkette vorliegt, muss der/die OpenManage Enterprise-AdministratorIn die Kette über die Webnutzeroberfläche unter „Anwendungseinstellungen –> Sicherheit – Zertifikate“ hochladen.
Wenn das Zertifikat die Anforderungen nicht erfüllt, wird auf der Webnutzeroberfläche einer der folgenden Fehler angezeigt:
- CGEN1008: Anfrage kann aufgrund eines Fehlers nicht verarbeitet werden
- CSEC9002: Zertifikat kann nicht hochgeladen werden, da die Zertifikatdatei ungültig ist
In den folgenden Abschnitten werden die Fehler, Auslöser und deren Behebung erläutert.
CGEN1008: Anfrage kann aufgrund eines Fehlers nicht verarbeitet werden
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Der
CGEN1008-Fehler wird angezeigt, wenn eine der folgenden Fehlerbedingungen vorliegt:
- Ungültiger CSR-Schlüssel für die Zertifikatkette
- Stellen Sie sicher, dass das Zertifikat mit der CSR von der OpenManage Enterprise-Webnutzeroberfläche erzeugt wurde. OpenManage Enterprise unterstützt keine Zertifikate, die nicht mit der CSR derselben Appliance erzeugt wurden.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Ungültige Zertifikatkette
- Das Stammzertifikat und die CA-Zwischenzertifikate müssen im Zertifikat enthalten sein.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Kein allgemeiner Name im Endzertifikat gefunden: Alle Zertifikate müssen den allgemeinen Namen (Common Name, CN) und dürfen keine Platzhalter (*) enthalten.
HINWEIS: OpenManage Enterprise unterstützt keine Zertifikate mit Platzhaltern (*). Beim Erzeugen einer CSR mit einem Platzhalter (*) als Distinguished Name über die Webnutzeroberfläche wird der folgende Fehler erzeugt:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- Keine erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für Client- und Serverauthentifizierung im Endzertifikat vorhanden
- Das Zertifikat muss erweiterte Schlüsselverwendung für die Server- und die Client-Authentifizierung enthalten.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Überprüfen Sie die Zertifikatdetails auf die erweiterte Schlüsselverwendung. Wenn es für eines von beiden fehlt, stellen Sie sicher, dass die zum Erzeugen des Zertifikats verwendete Vorlage für beides aktiviert wird.
- Fehlende Schlüsselchiffrierung für die Schlüsselverwendung
- Auf dem Zertifikat, das hochgeladen wird, muss für die Schlüsselverwendung die Schlüsselchiffrierung aufgeführt sein.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Überprüfen Sie die Zertifikatdetails auf die Schlüsselverwendung. Stellen Sie sicher, dass für die zum Erzeugen des Zertifikats verwendete Vorlage die Schlüsselchiffrierung aktiviert ist.
CSEC9002: Zertifikat kann nicht hochgeladen werden, da die Zertifikatdatei ungültig ist
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Der CSEC9002-Fehler wird angezeigt, wenn eine der folgenden Fehlerbedingungen vorliegt:
- Auf dem Serverzertifikat fehlt die Schlüsselchiffrierung
- Stellen Sie sicher, dass für die zum Erzeugen des Zertifikats verwendete Vorlage die Schlüsselchiffrierung aktiviert ist. Wenn Sie ein Zertifikat für die Migration nutzen, stellen Sie sicher, dass die vollständige Zertifikatkette hochgeladen wird und nicht das einzelne Serverzertifikat.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Zertifikatdatei enthält falsche Codierung
- Stellen Sie sicher, dass die Zertifikatdatei mit Base-64-Codierung gespeichert wurde.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Überprüfung der Migrationsverbindung
Nach dem erfolgreichen Hochladen der Zertifikatkette kann der Migrationsvorgang mit dem nächsten Schritt fortgesetzt werden: der Herstellung einer Verbindung zwischen der Quell- und Zielkonsole. In diesem Schritt gibt der/die OpenManage Enterprise-AdministratorIn die IP-Adresse und die lokalen Administratorzugangsdaten für die Quell- und Zielkonsole an.
Beim Validieren der Verbindung werden die folgenden Elemente überprüft:
- „Ausgestellt für“ und „Ausgestellt von“: Die Namen der Zertifizierungsstellen bei „Ausgestellt für“ und „Ausgestellt von“ müssen auf den Quell- und Zielzertifikaten in der Kette identisch sein. Wenn diese Namen nicht übereinstimmen, kann die Quelle oder das Ziel nicht überprüfen, ob die Zertifikate von denselben signierenden Zertifizierungsstellen ausgestellt wurden. Dies ist entscheidend für die Einhaltung des Zero-Trust-Sicherheitsframeworks.
Gültige Zertifikatkette zwischen Quelle und Ziel
Quellzertifikat |
|
|
Zielzertifikat |
|
Ausgestellt für |
Ausgestellt von |
|
Ausgestellt für |
Ausgestellt von |
OMENT-310 (Quelle) |
Zwischen-CA1 |
<-> |
OMENT-400 (Ziel) |
Zwischen-CA1 |
Zwischen-CA1 |
Stamm-CA |
<-> |
Zwischen-CA1 |
Stamm-CA |
Stamm-CA |
Stamm-CA |
<-> |
Stamm-CA |
Stamm-CA |
Ungültige Zertifikatkette zwischen Quelle und Ziel
Quellzertifikat |
|
|
Zielzertifikat |
|
Ausgestellt für |
Ausgestellt von |
|
Ausgestellt für |
Ausgestellt von |
OMENT-310 (Quelle) |
Zwischen-CA1 |
X |
OMENT-400 (Ziel) |
Zwischen-CA2 |
Zwischen-CA1 |
Stamm-CA |
X |
Zwischen-CA2 |
Stamm-CA |
Stamm-CA |
Stamm-CA |
<-> |
Stamm-CA |
Stamm-CA |
- Gültigkeitsdauer: Die Gültigkeitsdauer des Zertifikats wird anhand des Datums und der Uhrzeit der Appliance überprüft.
- Maximale Tiefe: Stellen Sie sicher, dass die Zertifikatkette die maximale Tiefe von 10 Endzertifikaten nicht überschreitet.
Wenn die Zertifikate die oben genannten Anforderungen nicht erfüllen, wird beim Versuch, die Konsolenverbindungen zu validieren, der folgende Fehler angezeigt:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Umgehen der Zertifikatkettenanforderung
Wenn beim Hochladen der erforderlichen Zertifikatkette weiterhin Probleme auftreten, gibt es eine unterstützte Methode, um das selbstsignierte Zertifikat zu nutzen.
Verwenden Sie die Backup- und Wiederherstellungsfunktion, wie im folgenden Artikel beschrieben:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur