Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Felsökning av de problem med certifikatkedjan som krävs för OpenManage Enterprise-migrering

Résumé: OpenManage Enterprise-administratörer kan stöta på flera fel under uppladdningen av certifikatkedjan (CGEN1008 och CSEC9002) och anslutningsverifieringen. Följande är en guide som hjälper OpenManage Enterprise-administratörer om de stöter på fel under det här steget av migreringsprocessen. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Migreringsprocessen för installationen utnyttjar ömsesidig TLS (mTLS). Den här typen av ömsesidig autentisering används inom ett Nolltillit säkerhetsramverk där ingenting är betrott som standard.
 
I ett typiskt TLS-utbyte innehåller servern TLS-certifikatet och det offentliga och privata nyckelparet. Klienten verifierar servercertifikatet och fortsätter sedan med att utbyta information via en krypterad session. Med mTLS verifierar både klienten och servern certifikatet innan de börjar utbyta data.
Kommunikationsdiagram för mTLS-klient och -server 
Alla OpenManage Enterprise-enheter som använder ett signerat certifikat från tredje part måste ladda upp certifikatkedjan innan de fortsätter med en migreringsåtgärd. En certifikatkedja är en ordnad lista över certifikat som innehåller ett SSL/TLS-certifikat och certifikat från certifikatutfärdare (CA). Kedjan börjar med det fristående certifikatet och följs av certifikat som signeras av den entitet som identifieras i nästa certifikat i kedjan.
  • Certifikat = CA-signerat certifikat (fristående)
  • Certifikatkedja = CA-signerat certifikat + mellanliggande CA-certifikat (om sådant finns) + rotcertifikatutfärdarcertifikat
Certifikatkedjan måste uppfylla följande krav, annars får administratören fel.
 

Krav på certifikatkedja för migrering 

  1. Nyckelmatchningar för begäran om certifikatsignering – Under överföringen av certifikatet kontrolleras CSR-nyckeln (Certificate Signing Request). OpenManage Enterprise stöder endast uppladdning av certifikat som begärs med hjälp av CSR (Certificate Signed Request) av enheten. Den här valideringskontrollen utförs under en uppladdning för både ett enskilt servercertifikat och en certifikatkedja.
  2. Certifikatkodning – Certifikatfilen kräver Base 64-kodning. Se till att Base 64-kodning används när du sparar det exporterade certifikatet från certifikatutfärdaren, annars anses certifikatfilen vara ogiltig.
  3. Verifiera förbättrad nyckelanvändning för certifikat – Kontrollera att nyckelanvändning är aktiverad för både serverautentisering och klientautentisering. Detta beror på att migreringen är tvåvägskommunikation mellan både källan och målet där båda kan fungera som en server och en klient under informationsutbytet. För enskilda servercertifikat krävs endast serverautentiseringen.
  4. Certifikatet är aktiverat för nyckelchiffrering – Certifikatmallen som används för att generera certifikatet måste innehålla nyckelchiffrering. Detta säkerställer att nycklarna i certifikatet kan användas för att kryptera kommunikationen.
  5. Certifikatkedja med rotcertifikat – Certifikatet innehåller den fullständiga kedjan som innehåller rotcertifikatet. Detta krävs för källan och målet för att säkerställa att båda är betrodda. Rotcertifikatet läggs till i varje enhets betrodda rotarkiv. VIKTIGT! OpenManage Enterprise har stöd för högst tio lövcertifikat i certifikatkedjan.
  6. Utfärdat till och utfärdat av – Rotcertifikatet används som förtroendeankare och används sedan för att verifiera alla certifikat i kedjan mot det förtroendeankaret. Kontrollera att certifikatkedjan innehåller rotcertifikatet.
Exempel på certifikatkedja
Utfärdad till Utfärdat av
OMENT (enhet) Inter-CA1
Inter-CA1 Rot-CA
Rot-CA Rot-CA


Överföringsåtgärd för certifikatkedja

När den fullständiga certifikatkedjan har hämtats måste OpenManage Enterprise-administratören ladda upp kedjan via webbgränssnittet – "Programinställningar –> Säkerhet – Certifikat".
 
Om certifikatet inte uppfyller kraven visas något av följande fel i webbgränssnittet:
  • CGEN1008 – Det gick inte att bearbeta begäran eftersom ett fel uppstod
  • CSEC9002 – Det går inte att ladda upp certifikatet eftersom den angivna certifikatfilen är ogiltig.
I följande avsnitt beskrivs fel, villkorsstyrda utlösare och hur du åtgärdar.

CGEN1008 – Det gick inte att bearbeta begäran eftersom ett fel inträffade.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Fel vid uppladdning av certifikat CGEN1008 Det gick inte att bearbeta begäran eftersom ett fel uppstod 
Det CGEN1008 felet visas om något av följande feltillstånd är uppfyllt:
  • Ogiltig CSR-nyckel för certifikatkedjan
    • Kontrollera att certifikatet har genererats med CSR från OpenManage Enterprise-webbgränssnittet. OpenManage Enterprise stöder inte överföring av certifikat som inte har genererats med CSR från samma enhet.
    • Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Ogiltig certifikatkedja
    • Rotcertifikatet och alla mellanliggande certifikatutfärdares certifikat måste inkluderas i certifikatet.
    • Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Inget eget namn hittades i lövcertifikatet – Alla certifikat måste innehålla de gemensamma namnen och får inte innehålla några jokertecken (*).
Obs! OpenManage Enterprise har inte stöd för jokerteckencertifikat (*). Om du genererar en CSR från webbgränssnittet med ett jokertecken (*) i det unika namnet genereras följande fel:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Fel vid uppladdning av certifikat CGEN6002 Det går inte att slutföra begäran eftersom indatavärdet för DistinguishedName saknas eller ett ogiltigt värde har angetts 
  • Ingen utökad nyckelanvändning för klient- och serverautentisering (EKU) finns i lövcertifikatet
    • Certifikatet måste innehålla både server- och klientautentisering för utökad nyckelanvändning.
    • Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Granska certifikatinformationen för förbättrad nyckelanvändning. Om någon av dem saknas kontrollerar du att mallen som används för att generera certifikatet är aktiverad för båda.
Certifikatinformation som visar förbättrad nyckelanvändning för både server- och klientautentisering 
  • Nyckelchiffrering saknas för nyckelanvändning
    • Certifikatet som laddas upp måste ha nyckelchiffreringen listad för nyckelanvändning.
    • Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Granska certifikatinformationen för nyckelanvändning. Kontrollera att mallen som används för att generera certifikatet har nyckelkryptering aktiverad.
Certifikatinformation som visar nyckelanvändning för nyckelchiffrering 
 

CSEC9002 – Det går inte att ladda upp certifikatet eftersom den angivna certifikatfilen är ogiltig.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Fel vid uppladdning av certifikat CSEC9002 Det går inte att ladda upp certifikatet eftersom den angivna certifikatfilen är ogiltig.
 
Det CSEC9002 felet visas om något av följande feltillstånd är uppfyllt: 
  • Nyckelchiffrering för servercertifikat saknas
    • Kontrollera att mallen som används för att generera certifikatet har nyckelkryptering aktiverad. När du använder ett certifikat för migrering ska du se till att hela certifikatkedjan laddas upp i stället för det enskilda servercertifikatet.
    • Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Certifikatfilen innehåller fel kodning
    • Kontrollera att certifikatfilen sparades med Base 64-kodning.
    • Följande fel visas i tomcat-programloggen som finns i konsolloggpaketet:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Verifiering av migreringsanslutning

När du har laddat upp certifikatkedjan kan migreringsprocessen fortsätta med nästa steg – att upprätta en anslutning mellan käll- och målkonsolerna. I det här steget tillhandahåller OpenManage Enterprise-administratören IP-adressen och lokala administratörsuppgifter för käll- och målkonsolerna.
 
Följande objekt kontrolleras när anslutningen verifieras:
  • Utfärdat till och utfärdat av – Namnen på certifikatutfärdarna i kedjan mellan varje käll- och målcertifikat har samma "utfärdat till" och "utfärdat av". Om dessa namn inte matchar kan källan eller målet inte verifiera att samma signeringsutfärdare har utfärdat certifikaten. Detta är avgörande för att följa Zero-Trust-säkerhetsramverket.
Giltig certifikatkedja mellan källa och mål
Källcertifikat     Målcertifikat  
Utfärdad till Utfärdat av   Utfärdad till Utfärdat av
OMENT-310 (källa) Inter-CA1 <-> OMENT-400 (mål) Inter-CA1
Inter-CA1 Rot-CA <-> Inter-CA1 Rot-CA
Rot-CA Rot-CA <-> Rot-CA Rot-CA
 
 
Ogiltig certifikatkedja mellan källa och mål
Källcertifikat     Målcertifikat  
Utfärdad till Utfärdat av   Utfärdad till Utfärdat av
OMENT-310 (källa) Inter-CA1 X OMENT-400 (mål) Inter-CA2
Inter-CA1 Rot-CA X Inter-CA2 Rot-CA
Rot-CA Rot-CA <-> Rot-CA Rot-CA
 
  • Giltighetsperiod – kontrollerar certifikatets giltighetsperiod med datum och tid för installationen.
  • Maximalt djup – kontrollera att certifikatkedjan inte överskrider det maximala djupet på 10 lövcertifikat.
Om certifikaten inte uppfyller ovanstående krav visas följande fel när du försöker verifiera konsolanslutningarna:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Valideringsfel för migreringsanslutning – Det går inte att ömsesidigt autentisera och ansluta till fjärrinstallationen. 

Kringgå krav på certifikatkedja

Om det fortfarande finns problem med att ladda upp den certifikatkedja som krävs finns det en metod som stöds och som kan användas för att utnyttja det självsignerade certifikatet.

Fortsätt med att använda funktionen för säkerhetskopiering och återställning enligt beskrivningen i följande artikel:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Produits concernés

Dell EMC OpenManage Enterprise
Propriétés de l’article
Numéro d’article: 000221202
Type d’article: How To
Dernière modification: 11 juin 2024
Version:  4
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.