跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

OpenManage Enterprise Migration -siirron edellyttämien varmenneketjun ongelmien vianmääritys

摘要: OpenManage Enterprise -järjestelmänvalvojat voivat havaita useita virheitä varmenneketjun latauksen (CGEN1008 ja CSEC9002) ja yhteyden vahvistusvaiheen aikana. Seuraavassa oppaassa on ohjeita OpenManage Enterprise -järjestelmänvalvojille, jos he löytävät virheitä siirtoprosessin tässä vaiheessa. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

说明

Laitteen siirtoprosessi hyödyntää molemminpuolista TLS:ää (mTLS). Tämän tyyppistä keskinäistä todennusta käytetään Zero Trust -tietoturvakehyksessä, jossa mihinkään ei oletusarvoisesti luoteta.
 
Tyypillisessä TLS-pörssissä palvelimella on TLS-varmenne sekä julkinen ja yksityinen avainpari. Asiakas tarkistaa palvelinvarmenteen ja jatkaa sitten tietojen vaihtoa salatun istunnon kautta. mTLS:ssä sekä asiakas että palvelin tarkistavat varmenteen ennen tietojen vaihtamisen aloittamista.
mTLS-asiakkaan ja palvelimen tiedonsiirtokaavio 
Kaikkien OpenManage Enterprise -laitteiden, jotka käyttävät kolmannen osapuolen allekirjoitettua varmennetta, on ladattava varmenneketju ennen siirtotoiminnon jatkamista. Varmenneketju on järjestetty luettelo varmenteista, jotka sisältävät SSL/TLS-varmenteen ja varmenteen myöntäjän (CA) varmenteet. Ketju alkaa erillisvarmenteella, jota seuraa ketjun seuraavassa varmenteessa tunnistetun tahon allekirjoittamat varmenteet.
  • Certificate = CA-allekirjoitettu varmenne (erillinen)
  • Varmenneketju = CA-allekirjoitettu varmenne + keskitason CA-varmenne (jos sellainen on) + päävarmenteen varmenne
Varmenneketjun on täytettävä seuraavat vaatimukset, muuten järjestelmänvalvoja saa virheilmoituksia.
 

Siirron varmenneketjun vaatimukset 

  1. Varmenteen allekirjoituspyynnön avainten vastaavuudet – varmenteen allekirjoituspyyntö (CSR) -avain valitaan varmenteen latauksen aikana. OpenManage Enterprise tukee vain sellaisten varmenteiden lataamista, joita kyseinen laite pyytää Certificate Signed Request (CSR) -pyynnöllä. Tämä vahvistustarkistus suoritetaan latauksen aikana sekä yksittäiselle palvelinvarmenteelle että varmenneketjulle.
  2. Varmenteen koodaus – Varmennetiedosto edellyttää Base 64 -koodausta. Varmista, että kun tallennat vietyä varmennetta varmenteen myöntäjältä, käytetään Base 64 -koodausta, muutoin varmennetiedosto katsotaan virheelliseksi.
  3. Vahvista varmenteen parannettu avaimen käyttö – varmista, että avaimen käyttö on käytössä sekä palvelintodennuksessa että asiakastodennuksessa. Tämä johtuu siitä, että siirto on kaksisuuntaista viestintää sekä lähteen että kohteen välillä, jossa kumpikin voi toimia palvelimena ja asiakkaana tiedonvaihdon aikana. Yksittäisissä palvelinvarmenteissa vaaditaan vain palvelintodennus.
  4. Varmenne on otettu käyttöön avaimen salausta varten – varmenteen luomiseen käytettävän varmennemallin on sisällettävä avaimen salaus. Näin varmistetaan, että varmenteen avaimia voidaan käyttää viestinnän salaamiseen.
  5. Varmenneketju ja päävarmenne – Varmenne sisältää koko ketjun , joka sisältää päävarmenteen. Tämä vaaditaan lähteelle ja kohteelle, jotta molempiin voidaan luottaa. Päävarmenne lisätään kunkin laitteen luotettuun juurisäilöön. TÄRKEÄÄ: OpenManage Enterprise tukee enintään 10 lehtivarmennetta varmenneketjussa.
  6. Myöntäjä ja myöntäjä - Päävarmennetta käytetään luottamusankkurina, minkä jälkeen kaikki ketjun varmenteet tarkistetaan kyseistä luottamusankkuria vasten. Varmista, että varmenneketju sisältää päävarmenteen.
Esimerkki varmenneketjusta
Myönnetty: Myöntänyt
OMENT (laite) CA1:n välinen
CA1:n välinen Juuri-CA
Juuri-CA Juuri-CA


Varmenneketjun lataustoiminto

Kun koko varmenneketju on hankittu, OpenManage Enterprise -järjestelmänvalvojan on ladattava ketju verkkokäyttöliittymän kautta - Sovellusasetukset -> Suojaus - Varmenteet.
 
Jos varmenne ei täytä vaatimuksia, verkkokäyttöliittymässä näkyy jokin seuraavista virheistä:
  • CGEN1008 - Pyyntöä ei voida käsitellä virheen vuoksi.
  • CSEC9002 - Varmennetta ei voi ladata, koska toimitettu varmennetiedosto on virheellinen.
Seuraavissa osissa korostetaan virheitä, ehdollisia käynnistimiä ja korjausohjeita.

CGEN1008 – Pyyntöä ei voitu käsitellä virheen vuoksi.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Varmenteen latausvirhe CGEN1008 Pyyntöä ei voida käsitellä virheen vuoksi 
CGEN1008 virhe näytetään, jos jokin seuraavista virheehdoista täyttyy:
  • Virheellinen varmenneketjun CSR-avain
    • Varmista, että varmenne on luotu OpenManage Enterprise -verkkokäyttöliittymän CSR-toiminnolla. OpenManage Enterprise ei tue sellaisen varmenteen lataamista samasta laitteesta, jota ei ole luotu CSR:n avulla.
    • Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Virheellinen varmenneketju
    • Päävarmenteen ja kaikkien välivarmenteiden myöntäjien varmenteet on sisällytettävä varmenteeseen.
    • Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Lehtivarmenteesta ei löydy yleisnimeä - Kaikissa varmenteissa on oltava yleiset nimet, eikä niissä saa olla yleismerkkejä (*).
HUOMAUTUS: OpenManage Enterprise ei tue yleismerkkejä (*). CSR:n luominen verkkokäyttöliittymästä käyttämällä yleismerkkiä (*) tunnistetussa nimessä aiheuttaa seuraavan virheen:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Varmenteen latausvirhe CGEN6002 Pyyntöä ei voi suorittaa, koska DistinctedName-parametrin syöttöarvo puuttuu tai annettu arvo on virheellinen 
  • Leaf-varmenteessa ei ole asiakas- ja palvelintodennusta Laajennettu avaimen käyttö (EKU)
    • Varmenteen on sisällettävä sekä palvelin- että asiakastodennus laajennettua avainkäyttöä varten.
    • Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Tarkista varmenteen tiedot voidaksesi parantaa avainten käyttöä. Jos jompikumpi puuttuu, varmista, että varmenteen luontiin käytetty malli on käytössä molemmissa.
Varmenteen tiedot, jotka osoittavat tehostetun avaimen käytön sekä palvelimen että asiakkaan todennuksessa 
  • Puuttuva avaimen salaus avaimen käyttöä varten
    • Ladattavassa varmenteessa on oltava avaimen salaus merkittynä avaimen käyttöä varten.
    • Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Tarkista varmenteen tiedot avaimen käyttöä varten. Varmista, että varmenteen luomiseen käytetyssä mallissa on käytössä avaimen salaus.
Varmenteen tiedot, jotka osoittavat avaimen käytön avaimen salauksessa 
 

CSEC9002 - Varmennetta ei voi ladata, koska toimitettu varmennetiedosto on virheellinen.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Varmenteen latausvirhe CSEC9002 Varmennetta ei voi ladata, koska toimitettu varmennetiedosto on virheellinen.
 
CSEC9002 virhe näytetään, jos jokin seuraavista virheehdoista täyttyy: 
  • Palvelinvarmenteesta puuttuu avaimen salaus
    • Varmista, että varmenteen luomiseen käytetyssä mallissa on käytössä avaimen salaus. Kun käytät siirtovarmennetta, varmista, että palvelimeen ladataan koko varmenneketju yksittäisen palvelimen varmenteen sijaan.
    • Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Varmennetiedosto sisältää väärän koodauksen
    • Varmista, että varmennetiedosto on tallennettu Base 64 -koodauksella.
    • Seuraava virhe näkyy konsolilokipaketissa olevassa tomcat-sovelluslokissa:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Siirtoyhteyden vahvistustoiminto

Kun varmenneketju on ladattu onnistuneesti, siirtoprosessi voi edetä seuraavaan vaiheeseen - yhteyden muodostamiseen lähde- ja kohdekonsolien välille. Tässä vaiheessa OpenManage Enterprise -järjestelmänvalvoja antaa lähde- ja kohdekonsolien IP-osoitteen sekä paikallisen järjestelmänvalvojan tunnistetiedot.
 
Seuraavat kohdat tarkistetaan yhteyden vahvistamisen yhteydessä:
  • Myöntänyt ja myöntänyt - Lähde- ja kohdevarmenteiden väliseen ketjuun kuuluvien varmenteiden myöntäjien nimissä on samat ilmaisut "myöntänyt" ja "myöntänyt". Jos nämä nimet eivät täsmää, lähde tai kohde ei voi varmistaa, että samat allekirjoitusviranomaiset ovat myöntäneet varmenteet. Tämä on ratkaisevan tärkeää nollaluottamuskehyksen noudattamiseksi.
Kelvollinen varmenneketju lähteen ja kohteen välillä
Lähdesertifikaatti     Kohdevarmenne  
Myönnetty: Myöntänyt   Myönnetty: Myöntänyt
OMENT-310 (lähde) CA1:n välinen <-> OMENT-400 (tavoite) CA1:n välinen
CA1:n välinen Juuri-CA <-> CA1:n välinen Juuri-CA
Juuri-CA Juuri-CA <-> Juuri-CA Juuri-CA
 
 
Virheellinen varmenneketju lähteen ja kohteen välillä
Lähdesertifikaatti     Kohdevarmenne  
Myönnetty: Myöntänyt   Myönnetty: Myöntänyt
OMENT-310 (lähde) CA1:n välinen X OMENT-400 (tavoite) CA2:n välinen
CA1:n välinen Juuri-CA X CA2:n välinen Juuri-CA
Juuri-CA Juuri-CA <-> Juuri-CA Juuri-CA
 
  • Voimassaoloaika - tarkistaa varmenteen voimassaoloajan laitteen päivämäärällä ja kellonajalla.
  • Enimmäissyvyys - varmista, että varmenneketju ei ylitä 10 lehtivarmenteen enimmäissyvyyttä.
Jos varmenteet eivät täytä edellä mainittuja vaatimuksia, konsoliyhteyksiä tarkistettaessa ilmenee seuraava virhe:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Siirtoyhteyden vahvistusvirhe – keskinäistä todennusta ja yhteyden muodostamista etälaitteeseen ei voi muodostaa. 

Ohita varmenneketjun vaatimus

Jos tarvittavan varmenneketjun lataamisessa on jatkuvia ongelmia, on olemassa tuettu tapa, jolla itse allekirjoitettua varmennetta voidaan hyödyntää.

Jatka varmuuskopiointi- ja palautustoiminnon avulla seuraavassa artikkelissa kuvatulla tavalla:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

受影响的产品

Dell EMC OpenManage Enterprise
文章属性
文章编号: 000221202
文章类型: How To
上次修改时间: 11 6月 2024
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。