Migreringsprocessen for enheden anvender gensidig TLS (mTLS). Denne type gensidig godkendelse bruges inden for en Zero Trust-sikkerhedsstruktur, hvor der som standard ikke er tillid til noget.
I en typisk TLS-udveksling har serveren TLS-certifikatet og det offentlige og private nøglepar. Klienten verificerer servercertifikatet og fortsætter derefter med at udveksle oplysninger over en krypteret session. Med mTLS bekræfter både klienten og serveren certifikatet, før de begynder at udveksle data.
Enhver OpenManage Enterprise-enhed, der anvender et tredjepartssigneret certifikat, skal overføre certifikatkæden, før du fortsætter med en migrering. En certifikatkæde er en ordnet liste over certifikater, der indeholder et SSL/TLS-certifikat og CA-certifikater (Certificate Authority). Kæden begynder med det enkeltstående certifikat og efterfølges af certifikater, der er underskrevet af den enhed, der er identificeret i det næste certifikat i kæden.
- Certifikat = CA-signeret certifikat (enkeltstående)
- Certifikatkæde = CA-signeret certifikat + mellemliggende CA-certifikat (hvis relevant) + CA-rodcertifikat
Certifikatkæden skal opfylde følgende krav, ellers får administratoren vist fejl.
Krav til certifikatkæde for migrering
- Nøglematch med anmodning om certifikatsignering – Under upload af certifikatet markeres CSR-nøglen (Certificate Signing Request). OpenManage Enterprise understøtter kun upload af certifikater, der anmodes om ved hjælp af CSR (Certificate Signed Request) af den pågældende enhed. Denne valideringskontrol udføres under en upload for både et enkelt servercertifikat og en certifikatkæde.
- Certifikatkodning – Certifikatfilen kræver Base 64-kodning. Sørg for, at når du gemmer det eksporterede certifikat fra nøglecenteret, bruges Base 64-kodning, ellers betragtes certifikatfilen som ugyldig.
- Valider certifikatforbedret nøglebrug – Kontrollér, at nøglebrug er aktiveret for både servergodkendelse og klientgodkendelse. Dette skyldes, at migreringen er tovejskommunikation mellem både kilden og målet, hvor enten kan fungere som en server og en klient under informationsudvekslingen. For enkelte servercertifikater kræves kun servergodkendelse.
- Certifikatet er aktiveret til nøglekryptering – Certifikatskabelonen, der bruges til at generere certifikatet, skal indeholde nøglekryptering. Dette sikrer, at nøglerne i certifikatet kan bruges til at kryptere kommunikation.
- Certifikatkæde med rodcertifikat – Certifikatet indeholder hele kæden , der indeholder rodcertifikatet. Dette er nødvendigt for kilden og målet for at sikre, at begge kan stole på. Rodcertifikatet føjes til hver enheds rodlager, der er tillid til. VIGTIGT: OpenManage Enterprise understøtter maksimalt 10 bladcertifikater i certifikatkæden.
- Udstedt til og udstedt af – Rodcertifikatet bruges som tillidsanker og bruges derefter til at validere alle certifikater i kæden i forhold til det pågældende tillidsanker. Sørg for, at certifikatkæden indeholder rodcertifikatet.
Eksempel på certifikatkæde
Udstedt til |
Udstedt af |
OMENT (apparat) |
Inter-CA1 |
Inter-CA1 |
Rod-CA |
Rod-CA |
Rod-CA |
Handling ved upload af certifikatkæde
Når den fulde certifikatkæde er hentet, skal OpenManage Enterprise-administratoren uploade kæden via webbrugergrænsefladen – 'Programindstillinger -> Sikkerhed - Certifikater'.
Hvis certifikatet ikke opfylder kravene, vises en af følgende fejl i webbrugergrænsefladen:
- CGEN1008 – Kunne ikke behandle anmodningen, fordi der opstod en fejl
- CSEC9002 – Certifikatet kunne ikke uploades, fordi den angivne certifikatfil er ugyldig.
Følgende afsnit fremhæver fejlene, betingede udløsere, og hvordan du afhjælper problemet.
CGEN1008 – Kunne ikke behandle anmodningen, fordi der opstod en fejl.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Den
CGEN1008 fejl vises, hvis en af følgende fejlbetingelser er opfyldt:
- Ugyldig CSR-nøgle til certifikatkæden
- Sørg for, at certifikatet blev genereret ved hjælp af CSR fra OpenManage Enterprise-webbrugergrænsefladen. OpenManage Enterprise understøtter ikke upload af et certifikat, der ikke er genereret ved hjælp af CSR fra den samme enhed.
- Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Ugyldig certifikatkæde
- Rodcertifikaterne og alle mellemliggende nøglecentrenes certifikater skal indgå i certifikatet.
- Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Intet almindeligt navn fundet i bladcertifikatet - Alle certifikater skal indeholde de almindelige navne og må ikke indeholde jokertegn (*).
BEMÆRK: OpenManage Enterprise understøtter ikke wildcard-certifikater (*). Generering af en CSR fra webbrugergrænsefladen ved hjælp af et jokertegn (*) i det entydige navn genererer følgende fejl:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- Der findes ingen klient- og servergodkendelse (EKU) i bladcertifikatet
- Certifikatet skal indeholde både server- og klientgodkendelse ved udvidet nøglebrug.
- Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Gennemgå certifikatoplysningerne for at få forbedret nøglebrug. Hvis en af dem mangler, skal du sørge for, at den skabelon, der bruges til at generere certifikatet, er aktiveret for begge.
- Manglende nøglekryptering til nøglebrug
- Det certifikat, der uploades, skal have nøglekrypteringen angivet for nøglebrug.
- Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Gennemgå certifikatoplysningerne for nøglebrug. Sørg for, at den skabelon, der bruges til at generere certifikatet, har nøglekryptering aktiveret.
CSEC9002 – Certifikatet kunne ikke uploades, fordi den angivne certifikatfil er ugyldig.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Den CSEC9002 fejl vises, hvis en af følgende fejlbetingelser er opfyldt:
- Servercertifikat mangler nøglekryptering
- Sørg for, at den skabelon, der bruges til at generere certifikatet, har nøglekryptering aktiveret. Når du udnytter et certifikat til migrering, skal du sikre dig, at hele certifikatkæden uploades i stedet for det enkelte servercertifikat.
- Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Certifikatfil indeholder forkert kodning
- Sørg for, at certifikatfilen blev gemt ved hjælp af Base 64-kodning.
- Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Verifikationshandling for migreringsforbindelse
Når certifikatkæden er uploadet, kan migreringsprocessen fortsætte med næste trin - etablering af forbindelse mellem kilde- og målkonsollerne. I dette trin angiver OpenManage Enterprise-administratoren IP-adressen og de lokale administratorlegitimationsoplysninger for kilde- og destinationskonsollerne.
Følgende elementer kontrolleres ved validering af forbindelsen:
- Udstedt til og udstedt af - Navnene på certifikatmyndighederne i kæden mellem hvert kilde- og målcertifikat har samme 'udstedt til' og 'udstedt af'. Hvis disse navne ikke stemmer overens, kan kilden eller målet ikke bekræfte, at de samme signeringsmyndigheder har udstedt certifikaterne. Dette er afgørende for at overholde Zero-Trust-sikkerhedsrammen.
Gyldig certifikatkæde mellem kilde og mål
Kildecertifikat |
|
|
Målcertifikat |
|
Udstedt til |
Udstedt af |
|
Udstedt til |
Udstedt af |
OMENT-310 (kilde) |
Inter-CA1 |
<-> |
OMENT-400 (mål) |
Inter-CA1 |
Inter-CA1 |
Rod-CA |
<-> |
Inter-CA1 |
Rod-CA |
Rod-CA |
Rod-CA |
<-> |
Rod-CA |
Rod-CA |
Ugyldig certifikatkæde mellem kilde og destination
Kildecertifikat |
|
|
Målcertifikat |
|
Udstedt til |
Udstedt af |
|
Udstedt til |
Udstedt af |
OMENT-310 (kilde) |
Inter-CA1 |
X |
OMENT-400 (mål) |
Inter-CA2 |
Inter-CA1 |
Rod-CA |
X |
Inter-CA2 |
Rod-CA |
Rod-CA |
Rod-CA |
<-> |
Rod-CA |
Rod-CA |
- Gyldighedsperiode - kontrollerer certifikatets gyldighedsperiode med dato og klokkeslæt for apparatet.
- Maksimal dybde - Kontroller, at certifikatkæden ikke overstiger den maksimale dybde på 10 bladcertifikater.
Hvis certifikaterne ikke opfylder ovenstående krav, vises følgende fejl, når du forsøger at validere konsolforbindelserne:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Omgå krav om certifikatkæde
Hvis der fortsat er problemer med at uploade den påkrævede certifikatkæde, findes der en understøttet metode, der kan bruges til at udnytte det selvsignerede certifikat.
Fortsæt med at udnytte sikkerhedskopierings- og gendannelsesfunktionen som beskrevet i følgende artikel:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur