Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Odstraňování problémů s řetězcem certifikátů vyžadovaných pro migraci OpenManage Enterprise

Résumé: Správci zařízení OpenManage Enterprise mohou během nahrávání řetězce certifikátů a ověřování připojení narazit na několik chyb (CGEN1008 a CSEC9002). Následující stránka obsahuje průvodce, který správcům zařízení OpenManage Enterprise pomůže v případě, že v této fázi migrace narazí na chyby. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Proces migrace zařízení využívá vzájemné ověření TLS (mTLS). Tento typ vzájemného ověřování se používá v architektuře zabezpečení Zero Trust, kde ve výchozím nastavení není nic důvěryhodné.
 
V typické výměně TLS má server certifikát TLS a pár veřejného a soukromého klíče. Klient ověří certifikát serveru a poté pokračuje ve výměně informací prostřednictvím šifrované relace. Při použití mTLS si klient i server nejprve ověří certifikát, než si začnou vyměňovat jakákoli data.
Diagram komunikace mezi klientem a serverem mTLS 
Každé zařízení OpenManage Enterprise, které využívá certifikát podepsaný třetí stranou, musí před pokračováním v migraci nahrát řetězec certifikátů. Řetězec certifikátů je uspořádaný seznam certifikátů s certifikátem SSL/TLS a certifikáty certifikační autority (CA). Řetězec začíná samostatným certifikátem a následují certifikáty podepsané entitou identifikovanou v dalším certifikátu v řetězci.
  • Certifikát = certifikát podepsaný certifikační autoritou (samostatný)
  • Řetězec certifikátů = certifikát podepsaný certifikační autoritou + certifikát zprostředkující certifikační autority (pokud je použit) + certifikát kořenové certifikační autority
Řetězec certifikátů musí splňovat následující požadavky, jinak se správci zobrazí chyby.
 

Požadavky na řetězec certifikátů pro migraci 

  1. Shoda klíče žádosti o podpis certifikátu – Během nahrávání certifikátu se zkontroluje klíč žádosti o podpis certifikátu (CSR). Nástroj OpenManage Enterprise podporuje pouze nahrávání certifikátů, které si zařízení vyžádá pomocí žádosti o podpis certifikátu (CSR). Tato kontrola se provádí během nahrávání jednoho certifikátu serveru i řetězce certifikátů.
  2. Kódování certifikátu – Soubor certifikátu vyžaduje kódování Base 64. Při ukládání exportovaného certifikátu od certifikační autority se ujistěte, že je použito kódování Base 64, jinak bude soubor certifikátu považován za neplatný.
  3. Ověřte rozšířené použití klíče certifikátu – zkontrolujte, zda je použití klíče povoleno pro ověřování serveru i klienta. To je potřeba proto, že migrace je obousměrná komunikace mezi zdrojem a cílem, kde oba mohou během výměny informací fungovat jako server a klient. U certifikátů jednotlivých serverů je vyžadováno pouze ověření serveru.
  4. Certifikát je povolen pro šifrování klíčů – Šablona certifikátu použitá k vygenerování certifikátu musí obsahovat šifrování klíče. Tím je zajištěno, že klíče v certifikátu lze použít k šifrování komunikace.
  5. Řetězec certifikátů s kořenovým certifikátem – Certifikát obsahuje úplný řetěz, který zahrnuje kořenový certifikát. To je vyžadováno pro zdroj a cíl, aby se zajistila jejich důvěryhodnost. Kořenový certifikát se přidá do důvěryhodného kořenového úložiště každého zařízení. DŮLEŽITÉ: Nástroj OpenManage Enterprise podporuje v řetězci certifikátů nejvýše 10 certifikátů leaf.
  6. Příjemce a vydavatel – Kořenový certifikát se používá jako kotva důvěryhodnosti, která se pak použije k ověření všech certifikátů v řetězci. Ujistěte se, že řetězec certifikátů obsahuje kořenový certifikát.
Ukázkový řetězec certifikátů
Příjemce Vydavatel
OMENT (zařízení) Inter-CA1
Inter-CA1 Kořenová certifikační autorita
Kořenová certifikační autorita Kořenová certifikační autorita


Operace nahrání řetězce certifikátů

Po získání celého řetězce certifikátů jej musí správce OpenManage Enterprise nahrát prostřednictvím webového uživatelského rozhraní „Application Settings -> Security – Certificates“.
 
Pokud certifikát nesplňuje požadavky, zobrazí se ve webovém uživatelském rozhraní jedna z následujících chyb:
  • CGEN1008 – Unable to process the request because an error occurred
  • CSEC9002 – Unable to upload the certificate because the certificate file provided is invalid.
Následující části se zaměřují na chyby, podmíněné spouštěče a způsob nápravy.

CGEN1008 – Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Chyba při nahrávání certifikátu CGEN1008 Unable to process the request because an error occurred 
Chyba CGEN1008 se zobrazí, pokud je splněn některý z následujících chybových stavů:
  • Neplatný klíč CSR pro řetězec certifikátů
    • Zkontrolujte, zda byl certifikát vygenerován pomocí žádosti CSR z webového uživatelského rozhraní OpenManage Enterprise. Nástroj OpenManage Enterprise nepodporuje nahrání certifikátu, který nebyl vygenerován pomocí žádosti CSR ze stejného zařízení.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Neplatný řetězec certifikátů
    • V certifikátu musí být obsaženy kořenové certifikáty a certifikáty všech zprostředkujících certifikačních autorit.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • V certifikátu leaf nebyl nalezen žádný běžný název – všechny certifikáty musí obsahovat běžné názvy a nesmí obsahovat zástupné znaky (*).
POZNÁMKA: Nástroj OpenManage Enterprise nepodporuje certifikáty se zástupnými znaky (*). Při generování žádosti CSR z webového uživatelského rozhraní pomocí zástupného znaku (*) v rozlišujícím názvu dojde k následující chybě:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Chyba nahrání certifikátu CGEN6002 Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered 
  • V certifikátu leaf není k dispozici rozšířené použití klíče (EKU) pro ověření klientů a serverů
    • Rozšířené využití klíče vyžaduje, aby certifikát obsahoval ověření serveru i klienta.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Zkontrolujte podrobnosti certifikátu pro rozšířené použití klíče. Pokud něco chybí, ujistěte se, že šablona použitá k vygenerování certifikátu je povolena pro obě strany.
Podrobnosti o certifikátu zobrazující rozšířené použití klíče pro ověření serveru i klienta 
  • Chybí šifrování klíče pro použití klíče
    • Nahrávaný certifikát musí mít uvedeno šifrování klíče pro používání klíče.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Zkontrolujte podrobnosti certifikátu pro použití klíče. Ujistěte se, že šablona použitá k vygenerování certifikátu má povolené šifrování klíče.
Podrobnosti o certifikátu zobrazující použití klíče pro šifrování klíčů 
 

CSEC9002 – Unable to upload the certificate because the certificate file provided is invalid.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Chyba při nahrávání certifikátu CSEC9002 Unable to upload the certificate because the certificate file provided is invalid.
 
Chyba CSEC9002 se zobrazí, pokud je splněn některý z následujících chybových stavů: 
  • Certifikát serveru postrádá šifrování klíče
    • Ujistěte se, že šablona použitá k vygenerování certifikátu má povolené šifrování klíče. Při využití certifikátu k migraci se ujistěte, že je nahrán celý řetězec certifikátů, nikoli pouze jeden certifikát serveru.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Soubor certifikátu obsahuje nesprávné kódování
    • Ujistěte se, že soubor certifikátu byl uložen s kódováním Base 64.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operace ověření připojení migrace

Po úspěšném nahrání řetězce certifikátů může proces migrace pokračovat dalším krokem – navázáním připojení mezi zdrojovou a cílovou konzolí. V tomto kroku správce zařízení OpenManage Enterprise zadá IP adresu a přihlašovací údaje místního správce pro zdrojovou a cílovou konzoli.
 
Při ověřování připojení se kontrolují následující položky:
  • Příjemce a vydavatel – Názvy certifikačních autorit v řetězci mezi jednotlivými zdrojovými a cílovými certifikáty musí mít stejné hodnoty „Issued to“ a „Issued by“. Pokud se tyto názvy neshodují, zdroj nebo cíl nemůže ověřit, zda certifikáty vystavily stejné podepisující autority. To je zásadní pro dodržování architektury zabezpečení Zero-Trust.
Platný řetěz certifikátů mezi zdrojem a cílem
Zdrojový certifikát     Cílový certifikát  
Příjemce Vydavatel   Příjemce Vydavatel
OMENT-310 (zdroj) Inter-CA1 <-> OMENT-400 (cíl) Inter-CA1
Inter-CA1 Kořenová certifikační autorita <-> Inter-CA1 Kořenová certifikační autorita
Kořenová certifikační autorita Kořenová certifikační autorita <-> Kořenová certifikační autorita Kořenová certifikační autorita
 
 
Neplatný řetězec certifikátů mezi zdrojem a cílem
Zdrojový certifikát     Cílový certifikát  
Příjemce Vydavatel   Příjemce Vydavatel
OMENT-310 (zdroj) Inter-CA1 X OMENT-400 (cíl) Inter-CA2
Inter-CA1 Kořenová certifikační autorita X Inter-CA2 Kořenová certifikační autorita
Kořenová certifikační autorita Kořenová certifikační autorita <-> Kořenová certifikační autorita Kořenová certifikační autorita
 
  • Doba platnosti – Zkontroluje dobu platnosti certifikátu s datem a časem zařízení.
  • Maximální hloubka – Ověří, že řetězec certifikátů nepřekračuje maximální hloubku 10 certifikátů leaf.
Pokud certifikáty nesplňují výše uvedené požadavky, zobrazí se při pokusu o ověření připojení konzole následující chyba:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Chyba ověření připojení migrace – Unable to mutually authenticate and connect to remote appliance. 

Obejití požadavku na řetězec certifikátů

Pokud problémy s nahráním požadovaného řetězce certifikátů přetrvávají, je k dispozici podporovaná metoda, pomocí které lze použít certifikát podepsaný držitelem.

Pokračujte použitím funkce zálohování a obnovení, jak je uvedeno v následujícím článku:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Produits concernés

Dell EMC OpenManage Enterprise
Propriétés de l’article
Numéro d’article: 000221202
Type d’article: How To
Dernière modification: 11 Jun 2024
Version:  4
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.