Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Feilsøking av sertifikatkjedeproblemer som kreves for OpenManage Enterprise-migrering

Resumen: OpenManage Enterprise-administratorer kan støte på flere feil under sertifikatkjedeopplasting (CGEN1008 og CSEC9002) og tilkoblingsverifisering. Følgende er en veiledning som hjelper OpenManage Enterprise-administratorer i tilfelle de støter på feil på dette stadiet av migreringsprosessen. ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Instrucciones

Overføringsprosessen for verktøy bruker gjensidig TLS (mTLS). Denne typen gjensidig autentisering brukes innenfor et Zero Trust-sikkerhetsrammeverk der ingenting er klarert som standard.
 
I en typisk TLS-utveksling har serveren TLS-sertifikatet og det offentlige og private nøkkelparet. Klienten verifiserer serversertifikatet og fortsetter deretter med å utveksle informasjon via en kryptert økt. Med mTLS bekrefter både klienten og serveren sertifikatet før de begynner å utveksle data.
mTLS-kommunikasjonsdiagram for klient og server 
Alle tilpassede verktøy i OpenManage Enterprise som bruker et signert sertifikat fra en tredjepart, må laste opp sertifikatkjeden før du fortsetter med en migrering. En sertifikatkjede er en ordnet liste over sertifikater som inneholder et SSL/TLS-sertifikat og sertifiseringsinstanssertifikater (CA). Kjeden begynner med det frittstående sertifikatet, og etterfølges av sertifikater signert av enheten som er identifisert i det neste sertifikatet i kjeden.
  • Sertifikat = CA-signert sertifikat (frittstående)
  • Sertifikatkjede = CA-signert sertifikat + mellomliggende CA-sertifikat (hvis aktuelt) + rot-CA-sertifikat
Sertifikatkjeden må oppfylle følgende krav, ellers blir administratoren presentert for feil.
 

Sertifikatkjedekrav for migrering 

  1. Forespørsel om sertifikatsignering Nøkkeltreff – Under sertifikatopplastingen kontrolleres nøkkelen for forespørsel om sertifikatsignering (CSR). OpenManage Enterprise støtter bare opplasting av sertifikater som er forespurt ved hjelp av sertifikatsignert forespørsel (CSR) av det apparatet. Denne valideringskontrollen utføres under en opplasting for både et enkelt serversertifikat og en sertifikatkjede.
  2. Sertifikatkoding – sertifikatfilen krever Base 64-koding. Kontroller at når du lagrer det eksporterte sertifikatet fra sertifiseringsinstansen, brukes Base 64-koding, ellers anses sertifikatfilen som ugyldig.
  3. Bekreft sertifikat for forbedret nøkkelbruk – Kontroller at nøkkelbruk er aktivert for både servergodkjenning og klientgodkjenning. Dette er fordi migreringen er toveiskommunikasjon mellom både kilden og målet der begge kan fungere som en server og en klient under informasjonsutvekslingen. For enkle serversertifikater kreves bare servergodkjenning.
  4. Sertifikatet er aktivert for nøkkelkryptering – sertifikatmalen som brukes til å generere sertifikatet, må inneholde nøkkelkryptering. Dette sikrer at nøklene i sertifikatet kan brukes til å kryptere kommunikasjon.
  5. Sertifikatkjede med rotsertifikat – sertifikatet inneholder hele kjeden som inkluderer rotsertifikatet. Dette er nødvendig for kilden og målet for å sikre at begge kan stole på. Rotsertifikatet legges til i hvert apparats pålitelige rotlager. VIKTIG: OpenManage Enterprise støtter opptil 10 bladsertifikater i sertifikatkjeden.
  6. Utstedt til og utstedt av - Rotsertifikatet brukes som klareringsanker, og brukes deretter til å validere alle sertifikater i kjeden mot det klareringsankeret. Kontroller at sertifikatkjeden inneholder rotsertifikatet.
Eksempel på sertifikatkjede
Utstedt til Utstedt av
OMENT (apparat) Inter-CA1
Inter-CA1 Root-CA
Root-CA Root-CA


Operasjon for sertifikatkjedeopplasting

Når hele sertifikatkjeden er anskaffet, må OpenManage Enterprise-administratoren laste opp kjeden via webgrensesnittet – Programinnstillinger –> Sikkerhet – Sertifikater.
 
Hvis sertifikatet ikke oppfyller kravene, vises en av følgende feil i webgrensesnittet:
  • CGEN1008 – Kan ikke behandle forespørselen fordi det oppstod en feil
  • CSEC9002 – Kan ikke laste opp sertifikatet fordi den oppgitte sertifikatfilen er ugyldig.
Delene nedenfor uthever feil, betingede utløsere og hvordan du utbedrer.

CGEN1008 – Kunne ikke behandle forespørselen fordi det oppstod en feil.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Feil ved sertifikatopplasting CGEN1008 Kan ikke behandle forespørselen fordi det oppstod en feil 
Den CGEN1008 feilen vises hvis noen av følgende feilbetingelser er oppfylt:
  • Ugyldig CSR-nøkkel for sertifikatkjeden
    • Kontroller at sertifikatet ble generert ved hjelp av CSR fra OpenManage Enterprise-webgrensesnittet. OpenManage Enterprise støtter ikke opplasting av et sertifikat som ikke ble generert ved hjelp av CSR fra det samme apparatet.
    • Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Ugyldig sertifikatkjede
    • Roten og alle midlertidige sertifiseringsinstansersertifikater må inkluderes i sertifikatet.
    • Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Finner ikke noe vanlig navn i bladsertifikatet – Alle sertifikater må inneholde vanlige navn og ikke inneholde jokertegn (*).
MERK: OpenManage Enterprise støtter ikke jokertegnsertifikater (*). Hvis du genererer en CSR fra webgrensesnittet ved hjelp av et jokertegn (*) i det unike navnet, genereres følgende feil:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Feil ved sertifikatopplasting CGEN6002 Kan ikke fullføre forespørselen fordi inndataverdien for DistinguishedName mangler eller det angis en ugyldig verdi 
  • Det finnes ingen klient- og servergodkjenning for utvidet nøkkelbruk (EKU) i bladsertifikatet
    • Sertifikatet må inneholde både server- og klientgodkjenning for utvidet nøkkelbruk.
    • Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Se gjennom sertifikatdetaljene for å få utvidet nøkkelbruk. Hvis en av dem mangler, kontrollerer du at malen som brukes til å generere sertifikatet, er aktivert for begge.
Sertifikatdetaljer som viser forbedret nøkkelbruk for både server- og klientgodkjenning 
  • Manglende nøkkelkryptering for nøkkelbruk
    • Sertifikatet som lastes opp, må ha nøkkelkrypteringen oppført for nøkkelbruk.
    • Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Se gjennom sertifikatdetaljene for nøkkelbruk. Kontroller at malen som brukes til å generere sertifikatet, har nøkkelkryptering aktivert.
Sertifikatdetaljer som viser nøkkelbruk for nøkkelchiffrering 
 

CSEC9002 – Kan ikke laste opp sertifikatet fordi den oppgitte sertifikatfilen er ugyldig.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Sertifikatopplastingsfeil CSEC9002 Kan ikke laste opp sertifikatet fordi den oppgitte sertifikatfilen er ugyldig.
 
Den CSEC9002 feilen vises hvis noen av følgende feilbetingelser er oppfylt: 
  • Kryptering av nøkkel for serversertifikat
    • Kontroller at malen som brukes til å generere sertifikatet, har nøkkelkryptering aktivert. Når du bruker et sertifikat for migrering, må du sørge for at hele sertifikatkjeden er lastet opp i stedet for enkeltserversertifikatet.
    • Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Sertifikatfilen inneholder feil koding
    • Kontroller at sertifikatfilen ble lagret ved hjelp av Base 64-kodingen.
    • Følgende feil vises i Tomcat-applikasjonsloggen i konsollloggpakken:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operasjon for verifisering av overføringstilkobling

Etter å ha lastet opp sertifikatkjeden, kan migreringsprosessen fortsette med neste trinn - etablere forbindelse mellom kilde- og målkonsoller. I dette trinnet gir OpenManage Enterprise-administratoren IP-adressen og legitimasjonen for lokal administrator for kilde- og målkonsollene.
 
Følgende elementer kontrolleres ved validering av tilkoblingen:
  • Utstedt til og utstedt av - Navn på sertifiseringsinstansene i kjeden mellom hver av dem har kilde- og målsertifikatene samme «utstedt til» og «utstedt av». Hvis disse navnene ikke samsvarer, kan ikke kilden eller målet bekrefte at de samme signeringsmyndighetene har utstedt sertifikatene. Dette er avgjørende for å overholde sikkerhetsrammeverket for nulltillit.
Gyldig sertifikatkjede mellom kilde og mål
Kildesertifikat     Målsertifikat  
Utstedt til Utstedt av   Utstedt til Utstedt av
OMENT-310 (kilde) Inter-CA1 <-> OMENT-400 (mål) Inter-CA1
Inter-CA1 Root-CA <-> Inter-CA1 Root-CA
Root-CA Root-CA <-> Root-CA Root-CA
 
 
Ugyldig sertifikatkjede mellom kilde og mål
Kildesertifikat     Målsertifikat  
Utstedt til Utstedt av   Utstedt til Utstedt av
OMENT-310 (kilde) Inter-CA1 X OMENT-400 (mål) Inter-CA2
Inter-CA1 Root-CA X Inter-CA2 Root-CA
Root-CA Root-CA <-> Root-CA Root-CA
 
  • Gyldighetsperiode - kontrollerer gyldighetsperioden for sertifikatet med dato og klokkeslett for apparatet.
  • Maksimal dybde – kontroller at sertifikatkjeden ikke overskrider den maksimale dybden på 10 bladsertifikater.
Hvis sertifikatene ikke oppfyller kravene ovenfor, vises følgende feil når du prøver å validere konsolltilkoblingene:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Valideringsfeil for migreringstilkobling – kunne ikke gjensidig godkjenne og koble til eksterne enheter. 

Omgå krav om sertifikatkjede

Hvis det fortsatt oppstår problemer med opplasting av den nødvendige sertifikatkjeden, finnes det en metode som støttes for å dra nytte av det selvsignerte sertifikatet.

Fortsett med å bruke sikkerhetskopierings- og gjenopprettingsfunksjonen som beskrevet i følgende artikkel:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Productos afectados

Dell EMC OpenManage Enterprise
Propiedades del artículo
Número del artículo: 000221202
Tipo de artículo: How To
Última modificación: 11 jun. 2024
Versión:  4
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.