跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Solução de problemas de cadeia de certificados durante a migração do OpenManage Enterprise

摘要: Os administradores do OpenManage Enterprise podem encontrar alguns erros durante o carregamento da cadeia de certificados (CGEN1008 e CSEC9002) e a etapa de verificação de conexão. O guia a seguir poderá auxiliar os administradores do OpenManage Enterprise caso ocorram erros durante essa etapa do processo de migração. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

说明

O processo de migração do equipamento aproveita o TLS mútuo (mTLS). Esse tipo de autenticação mútua é usado em uma estrutura de segurança Zero Trust, em que nada é confiável por padrão.
 
Em uma troca de TLS típica, o servidor mantém o certificado TLS e o par de chaves pública e privada. O client verifica o certificado do servidor e, em seguida, prossegue com a troca de informações em uma sessão criptografada. Com o mTLS, tanto o client quanto o servidor verificam o certificado antes de começarem a trocar quaisquer dados.
Diagrama de comunicação entre client e servidor mTLS 
Qualquer equipamento OpenManage Enterprise que aproveite um certificado assinado de terceiros precisa carregar a cadeia de certificados antes de prosseguir com uma operação de migração. Uma cadeia de certificados é uma lista ordenada de certificados que contém um certificado SSL/TLS e os certificados de Autoridade de Certificação (CA). A cadeia começa com o certificado independente e prossegue com os certificados assinados pela entidade identificada no próximo certificado da cadeia.
  • Certificado = Certificado assinado pela CA (independente)
  • Cadeia de certificados = Certificado assinado pela CA + Certificado de CA intermediária (se houver) + Certificado de CA raiz
A cadeia de certificados precisa atender aos seguintes requisitos, caso contrário, o administrador apresentará erros.
 

Requisitos da cadeia de certificados para migração 

  1. Correspondência de chaves de solicitação de assinatura de certificado – Durante o carregamento do certificado, a chave de Solicitação de Assinatura de Certificado (CSR) é verificada. O OpenManage Enterprise só dá suporte ao carregamento de certificados solicitados por esse equipamento usando a Solicitação de Assinatura de Certificado (CSR). Essa verificação de validação é realizada durante o carregamento de um certificado de servidor único e de uma cadeia de certificados.
  2. Codificação de certificado – O arquivo de certificado requer a codificação Base 64. Verifique se, ao salvar o certificado exportado da autoridade de certificação, a codificação Base 64 foi usada. Caso contrário, o arquivo de certificado será considerado inválido.
  3. Validação do uso da chave aprimorada do certificado – Faça a verificação para garantir que o uso da chave está habilitado para a autenticação de servidor e a autenticação de client. Isso deve ser feito porque a migração é uma comunicação bidirecional entre a origem e o destino, em que qualquer um pode atuar como servidor e client durante a troca de informações. Para certificados de servidor único, somente a autenticação de servidor é necessária.
  4. Habilitação do certificado para codificação de chaves – O modelo de certificado usado para gerar o certificado precisa incluir a codificação de chaves. Isso garante que as chaves no certificado possam ser usadas para criptografar a comunicação.
  5. Cadeia de certificados com certificado raiz – O certificado contém a cadeia completa que inclui o certificado raiz. Isso é necessário para que a origem e o destino sejam confiáveis. O certificado raiz é adicionado ao armazenamento raiz confiável de cada equipamento. IMPORTANTE: O OpenManage Enterprise oferece suporte a, no máximo, 10 certificados leaf dentro da cadeia de certificados.
  6. Campos Issued to e Issued by – O certificado raiz é usado como âncora de confiança e, em seguida, é usado para validar todos os certificados da cadeia em relação a essa âncora de confiança. Certifique-se de que a cadeia de certificados inclua o certificado raiz.
Cadeia de certificados de exemplo
Issued To Issued By
OMENT (equipamento) Inter-CA1
Inter-CA1 Root-CA
Root-CA Root-CA


Operação de carregamento da cadeia de certificados

Depois que toda a cadeia de certificados for adquirida, o administrador do OpenManage Enterprise deverá fazer o carregamento da cadeia pela IU da Web: "Application Settings -> Security - Certificates".
 
Se o certificado não atender aos requisitos, um dos seguintes erros será exibido na IU da Web:
  • CGEN1008 - Unable to process the request because an error occurred
  • CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
As seções a seguir destacam os erros, os gatilhos condicionais e a correção.

CGEN1008 - Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Erro no carregamento do certificado CGEN1008 - Unable to process the request because an error occurred 
O erro CGEN1008 será exibido se qualquer uma das seguintes condições de erro ocorrer:
  • Chave CSR inválida para a cadeia de certificados
    • Verifique se o certificado foi gerado usando a CSR a partir da IU da Web do OpenManage Enterprise. O OpenManage Enterprise é compatível somente com o carregamento de um certificado gerado usando a CSR a partir do mesmo equipamento.
    • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Cadeia de certificados inválida
    • Todos os certificados de autoridades de certificação intermediárias e raiz devem ser incluídos no certificado.
    • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Nenhum nome comum encontrado no certificado leaf – Todos os certificados devem incluir os nomes comuns e não conter caracteres curinga (*).
Nota: O OpenManage Enterprise não é compatível com certificados curinga (*). A geração de uma CSR a partir da IU da Web usando um caractere curinga (*) no nome distinto causa o seguinte erro:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Erro no carregamento do certificado CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered 
  • Não há Extended Key Usage (EKU) de autenticação de client e servidor presente no certificado leaf
    • O certificado deve incluir autenticação de servidor e client em Extended Key Usage.
    • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Analise nos detalhes do certificado o campo Extended Key Usage. Se alguma das certificações estiver ausente, verifique se o modelo usado para gerar o certificado esteja habilitado nas duas opções.
Detalhes do certificado mostrando a autenticação de servidor e client em Extended Key Usage 
  • Codificação de chave ausente em Key Usage
    • O certificado que está sendo carregado precisa ter a codificação da chaves listada em Key Usage.
    • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Analise nos detalhes do certificado o campo Key Usage. Verifique se o modelo usado para gerar o certificado está com a codificação de chaves ativada.
Detalhes do certificado mostrando codificação de chaves em Key Usage 
 

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Erro no carregamento do certificado CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
 
O erro CSEC9002 será exibido se qualquer uma das seguintes condições de erro ocorrer: 
  • Codificação de chaves do certificado do servidor ausente
    • Verifique se o modelo usado para gerar o certificado está com a codificação de chaves ativada. Ao aproveitar um certificado para migração, verifique se a cadeia de certificados completa está carregada, e não o certificado de servidor único.
    • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • O arquivo de certificado contém codificação incorreta
    • Verifique se o arquivo de certificado foi salvo usando a codificação Base 64.
    • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operação de verificação da conexão de migração

Depois de carregar a cadeia de certificados com sucesso, o processo de migração pode prosseguir para a próxima etapa: estabelecer conexão entre os consoles de origem e destino. Nessa etapa, o administrador do OpenManage Enterprise fornece o endereço IP e as credenciais de administrador local para os consoles de origem e destino.
 
Os itens a seguir são verificados ao validar a conexão:
  • Issued to e Issued by – Os nomes das autoridades de certificação na cadeia entre cada um dos certificados de origem e de destino devem ter os mesmos dados nos campos "Issued to" e "Issued by". Se esses nomes não corresponderem, a origem ou o destino não poderá verificar se as mesmas autoridades de assinatura emitiram os certificados. Isso é crucial para aderir à estrutura de segurança Zero Trust.
Cadeia de certificados válida entre origem e destino
Certificado de origem     Certificado de destino  
Issued To Issued By   Issued To Issued By
OMENT-310 (origem) Inter-CA1 <-> OMENT-400 (destino) Inter-CA1
Inter-CA1 Root-CA <-> Inter-CA1 Root-CA
Root-CA Root-CA <-> Root-CA Root-CA
 
 
Cadeia de certificados inválida entre origem e destino
Certificado de origem     Certificado de destino  
Issued To Issued By   Issued To Issued By
OMENT-310 (origem) Inter-CA1 X OMENT-400 (destino) Inter-CA2
Inter-CA1 Root-CA X Inter-CA2 Root-CA
Root-CA Root-CA <-> Root-CA Root-CA
 
  • Validity period – O período de validade do certificado deve ser checado com a data e a hora do equipamento.
  • Maximum depth – A cadeia de certificados não deve excede a profundidade máxima de 10 certificados leaf.
Se os certificados não atenderem aos requisitos acima, o erro a seguir será exibido ao tentar validar as conexões do console:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Migration connection validation error - Unable to mutually authenticate and connect to remote appliance. 

Ignorar o requisito de cadeia de certificados

Se houver problemas contínuos no carregamento da cadeia de certificados necessária, método compatível poderá ser usado para aproveitar o certificado autoassinado.

Prossiga com o aproveitamento do recurso de backup e restauração, conforme descrito no artigo a seguir:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

受影响的产品

Dell EMC OpenManage Enterprise
文章属性
文章编号: 000221202
文章类型: How To
上次修改时间: 11 6月 2024
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。