跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Fejlfinding af problemer med certifikatkæden, der kræves til OpenManage Enterprise-migrering

摘要: OpenManage Enterprise-administratorer kan støde på flere fejl under certifikatkædens upload (CGEN1008 og CSEC9002) og forbindelsesbekræftelsesfasen. Følgende er en vejledning til at hjælpe OpenManage Enterprise-administratorer, hvis de støder på fejl i denne fase af overførselsprocessen. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

说明

Migreringsprocessen for enheden anvender gensidig TLS (mTLS). Denne type gensidig godkendelse bruges inden for en Zero Trust-sikkerhedsstruktur, hvor der som standard ikke er tillid til noget.
 
I en typisk TLS-udveksling har serveren TLS-certifikatet og det offentlige og private nøglepar. Klienten verificerer servercertifikatet og fortsætter derefter med at udveksle oplysninger over en krypteret session. Med mTLS bekræfter både klienten og serveren certifikatet, før de begynder at udveksle data.
Kommunikationsdiagram for mTLS-klient og -server 
Enhver OpenManage Enterprise-enhed, der anvender et tredjepartssigneret certifikat, skal overføre certifikatkæden, før du fortsætter med en migrering. En certifikatkæde er en ordnet liste over certifikater, der indeholder et SSL/TLS-certifikat og CA-certifikater (Certificate Authority). Kæden begynder med det enkeltstående certifikat og efterfølges af certifikater, der er underskrevet af den enhed, der er identificeret i det næste certifikat i kæden.
  • Certifikat = CA-signeret certifikat (enkeltstående)
  • Certifikatkæde = CA-signeret certifikat + mellemliggende CA-certifikat (hvis relevant) + CA-rodcertifikat
Certifikatkæden skal opfylde følgende krav, ellers får administratoren vist fejl.
 

Krav til certifikatkæde for migrering 

  1. Nøglematch med anmodning om certifikatsignering – Under upload af certifikatet markeres CSR-nøglen (Certificate Signing Request). OpenManage Enterprise understøtter kun upload af certifikater, der anmodes om ved hjælp af CSR (Certificate Signed Request) af den pågældende enhed. Denne valideringskontrol udføres under en upload for både et enkelt servercertifikat og en certifikatkæde.
  2. Certifikatkodning – Certifikatfilen kræver Base 64-kodning. Sørg for, at når du gemmer det eksporterede certifikat fra nøglecenteret, bruges Base 64-kodning, ellers betragtes certifikatfilen som ugyldig.
  3. Valider certifikatforbedret nøglebrug – Kontrollér, at nøglebrug er aktiveret for både servergodkendelse og klientgodkendelse. Dette skyldes, at migreringen er tovejskommunikation mellem både kilden og målet, hvor enten kan fungere som en server og en klient under informationsudvekslingen. For enkelte servercertifikater kræves kun servergodkendelse.
  4. Certifikatet er aktiveret til nøglekryptering – Certifikatskabelonen, der bruges til at generere certifikatet, skal indeholde nøglekryptering. Dette sikrer, at nøglerne i certifikatet kan bruges til at kryptere kommunikation.
  5. Certifikatkæde med rodcertifikat – Certifikatet indeholder hele kæden , der indeholder rodcertifikatet. Dette er nødvendigt for kilden og målet for at sikre, at begge kan stole på. Rodcertifikatet føjes til hver enheds rodlager, der er tillid til. VIGTIGT: OpenManage Enterprise understøtter maksimalt 10 bladcertifikater i certifikatkæden.
  6. Udstedt til og udstedt af – Rodcertifikatet bruges som tillidsanker og bruges derefter til at validere alle certifikater i kæden i forhold til det pågældende tillidsanker. Sørg for, at certifikatkæden indeholder rodcertifikatet.
Eksempel på certifikatkæde
Udstedt til Udstedt af
OMENT (apparat) Inter-CA1
Inter-CA1 Rod-CA
Rod-CA Rod-CA


Handling ved upload af certifikatkæde

Når den fulde certifikatkæde er hentet, skal OpenManage Enterprise-administratoren uploade kæden via webbrugergrænsefladen – 'Programindstillinger -> Sikkerhed - Certifikater'.
 
Hvis certifikatet ikke opfylder kravene, vises en af følgende fejl i webbrugergrænsefladen:
  • CGEN1008 – Kunne ikke behandle anmodningen, fordi der opstod en fejl
  • CSEC9002 – Certifikatet kunne ikke uploades, fordi den angivne certifikatfil er ugyldig.
Følgende afsnit fremhæver fejlene, betingede udløsere, og hvordan du afhjælper problemet.

CGEN1008 – Kunne ikke behandle anmodningen, fordi der opstod en fejl.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Fejl ved upload af certifikat CGEN1008 Kunne ikke behandle anmodningen, fordi der opstod en fejl 
Den CGEN1008 fejl vises, hvis en af følgende fejlbetingelser er opfyldt:
  • Ugyldig CSR-nøgle til certifikatkæden
    • Sørg for, at certifikatet blev genereret ved hjælp af CSR fra OpenManage Enterprise-webbrugergrænsefladen. OpenManage Enterprise understøtter ikke upload af et certifikat, der ikke er genereret ved hjælp af CSR fra den samme enhed.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Ugyldig certifikatkæde
    • Rodcertifikaterne og alle mellemliggende nøglecentrenes certifikater skal indgå i certifikatet.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Intet almindeligt navn fundet i bladcertifikatet - Alle certifikater skal indeholde de almindelige navne og må ikke indeholde jokertegn (*).
BEMÆRK: OpenManage Enterprise understøtter ikke wildcard-certifikater (*). Generering af en CSR fra webbrugergrænsefladen ved hjælp af et jokertegn (*) i det entydige navn genererer følgende fejl:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Fejl ved upload af certifikat CGEN6002 Kan ikke fuldføre anmodningen, fordi inputværdien for DistinguishedName mangler, eller fordi der indtastes en ugyldig værdi 
  • Der findes ingen klient- og servergodkendelse (EKU) i bladcertifikatet
    • Certifikatet skal indeholde både server- og klientgodkendelse ved udvidet nøglebrug.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Gennemgå certifikatoplysningerne for at få forbedret nøglebrug. Hvis en af dem mangler, skal du sørge for, at den skabelon, der bruges til at generere certifikatet, er aktiveret for begge.
Certifikatoplysninger, der viser forbedret nøglebrug til både server- og klientgodkendelse 
  • Manglende nøglekryptering til nøglebrug
    • Det certifikat, der uploades, skal have nøglekrypteringen angivet for nøglebrug.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Gennemgå certifikatoplysningerne for nøglebrug. Sørg for, at den skabelon, der bruges til at generere certifikatet, har nøglekryptering aktiveret.
Certifikatoplysninger, der viser nøgleanvendelse til nøglekryptering 
 

CSEC9002 – Certifikatet kunne ikke uploades, fordi den angivne certifikatfil er ugyldig.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Fejl ved overførsel af certifikat CSEC9002 Kunne ikke overføre certifikatet, fordi den angivne certifikatfil er ugyldig.
 
Den CSEC9002 fejl vises, hvis en af følgende fejlbetingelser er opfyldt: 
  • Servercertifikat mangler nøglekryptering
    • Sørg for, at den skabelon, der bruges til at generere certifikatet, har nøglekryptering aktiveret. Når du udnytter et certifikat til migrering, skal du sikre dig, at hele certifikatkæden uploades i stedet for det enkelte servercertifikat.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Certifikatfil indeholder forkert kodning
    • Sørg for, at certifikatfilen blev gemt ved hjælp af Base 64-kodning.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Verifikationshandling for migreringsforbindelse

Når certifikatkæden er uploadet, kan migreringsprocessen fortsætte med næste trin - etablering af forbindelse mellem kilde- og målkonsollerne. I dette trin angiver OpenManage Enterprise-administratoren IP-adressen og de lokale administratorlegitimationsoplysninger for kilde- og destinationskonsollerne.
 
Følgende elementer kontrolleres ved validering af forbindelsen:
  • Udstedt til og udstedt af - Navnene på certifikatmyndighederne i kæden mellem hvert kilde- og målcertifikat har samme 'udstedt til' og 'udstedt af'. Hvis disse navne ikke stemmer overens, kan kilden eller målet ikke bekræfte, at de samme signeringsmyndigheder har udstedt certifikaterne. Dette er afgørende for at overholde Zero-Trust-sikkerhedsrammen.
Gyldig certifikatkæde mellem kilde og mål
Kildecertifikat     Målcertifikat  
Udstedt til Udstedt af   Udstedt til Udstedt af
OMENT-310 (kilde) Inter-CA1 <-> OMENT-400 (mål) Inter-CA1
Inter-CA1 Rod-CA <-> Inter-CA1 Rod-CA
Rod-CA Rod-CA <-> Rod-CA Rod-CA
 
 
Ugyldig certifikatkæde mellem kilde og destination
Kildecertifikat     Målcertifikat  
Udstedt til Udstedt af   Udstedt til Udstedt af
OMENT-310 (kilde) Inter-CA1 X OMENT-400 (mål) Inter-CA2
Inter-CA1 Rod-CA X Inter-CA2 Rod-CA
Rod-CA Rod-CA <-> Rod-CA Rod-CA
 
  • Gyldighedsperiode - kontrollerer certifikatets gyldighedsperiode med dato og klokkeslæt for apparatet.
  • Maksimal dybde - Kontroller, at certifikatkæden ikke overstiger den maksimale dybde på 10 bladcertifikater.
Hvis certifikaterne ikke opfylder ovenstående krav, vises følgende fejl, når du forsøger at validere konsolforbindelserne:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Valideringsfejl i forbindelse til migrering – Kan ikke gensidigt godkende og oprette forbindelse til ekstern enhed. 

Omgå krav om certifikatkæde

Hvis der fortsat er problemer med at uploade den påkrævede certifikatkæde, findes der en understøttet metode, der kan bruges til at udnytte det selvsignerede certifikat.

Fortsæt med at udnytte sikkerhedskopierings- og gendannelsesfunktionen som beskrevet i følgende artikel:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

受影响的产品

Dell EMC OpenManage Enterprise
文章属性
文章编号: 000221202
文章类型: How To
上次修改时间: 11 6月 2024
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。