跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

OpenManage Enterprise Geçişi için Gerekli Sertifika Zinciri Sorunlarını Giderme

摘要: OpenManage Enterprise yöneticileri, sertifika zinciri yükleme (CGEN1008 ve CSEC9002) ve bağlantı doğrulama aşamasında çeşitli hatalarla karşılaşabilir. Aşağıda, OpenManage Enterprise yöneticilerine geçiş sürecinin bu aşamasında hatalarla karşılaşmaları durumunda yardımcı olacak bir kılavuz yer almaktadır. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

说明

Cihaz geçiş işlemi karşılıklı TLS'den (mTLS) faydalanır. Bu tür karşılıklı kimlik doğrulama, varsayılan olarak hiçbir şeye güvenilmeyen bir Sıfır Güven güvenlik çerçevesi içinde kullanılır.
 
Tipik bir TLS değişiminde, sunucu TLS sertifikasını ve genel ve özel anahtar çiftini tutar. İstemci sunucu sertifikasını doğrular ve ardından şifreli bir oturum üzerinden bilgi alışverişine devam eder. mTLS ile hem istemci hem de sunucu herhangi bir veri alışverişine başlamadan önce sertifikayı doğrular.
mTLS istemci ve sunucu iletişim diyagramı 
Üçüncü taraf imzalı bir sertifikadan yararlanan tüm OpenManage Enterprise cihazlarının, bir geçiş işlemine devam etmeden önce sertifika zincirini yüklemesi gerekir. Sertifika zinciri, bir SSL/TLS Sertifikası ve Sertifika Yetkilisi (CA) Sertifikaları içeren sıralı bir sertifika listesidir. Zincir, bağımsız sertifika ile başlar ve bunu zincirdeki bir sonraki sertifikada tanımlanan varlık tarafından imzalanan sertifikalar izler.
  • Sertifika = CA imzalı sertifika (bağımsız)
  • Sertifika Zinciri = CA imzalı sertifika + ara CA sertifikası (varsa) + kök CA sertifikası
Sertifika zincirinin aşağıdaki gereksinimleri karşılaması gerekir. Aksi takdirde yönetici hatalarla karşılaşır.
 

Geçiş için Sertifika Zinciri Gereksinimleri 

  1. Sertifika İmzalama İsteği anahtar eşleşmeleri: Sertifika yükleme sırasında Sertifika İmzalama İsteği (CSR) anahtarı kontrol edilir. OpenManage Enterprise, yalnızca bu cihaz tarafından İmzalı Sertifika İsteği (CSR) kullanılarak talep edilen sertifikaların yüklenmesini destekler. Bu doğrulama kontrolü, hem tek bir sunucu sertifikası hem de sertifika zinciri için yükleme sırasında gerçekleştirilir.
  2. Sertifika kodlaması: Sertifika dosyası için Base 64 kodlaması gerekir. Dışa aktarılan sertifikayı sertifika yetkilisinden kaydederken Base 64 kodlamasının kullanıldığından emin olun, aksi takdirde sertifika dosyası geçersiz sayılır.
  3. Sertifika geliştirilmiş anahtar kullanımını doğrulama: Anahtar kullanımının hem Sunucu Kimlik Doğrulaması hem de İstemci Kimlik Doğrulaması için etkinleştirildiğinden emin olun. Bunun nedeni, geçişin hem kaynak hem de hedef arasında iki yönlü bir iletişim olması ve bilgi alışverişi sırasında her ikisinin de sunucu ve istemci olarak hareket edebilmesidir. Tek sunucu sertifikaları için yalnızca sunucu kimlik doğrulaması gereklidir.
  4. Sertifika, anahtar şifreleme için etkinleştirildi: Sertifikayı oluşturmak için kullanılan sertifika şablonu anahtar şifrelemeyi içermelidir. Bu, sertifikadaki anahtarların iletişimi şifrelemek için kullanılabilmesini sağlar.
  5. Kök sertifikalı Sertifika Zinciri: Sertifika, kök sertifika bulunan tam zinciri içerir. Kaynak ve hedefte her ikisine de güvenilebilmesini sağlamak için bu gereklidir. Kök sertifika, her cihazın güvenilir kök depolamasına eklenir. ÖNEMLİ: OpenManage Enterprise, sertifika zinciri içinde en fazla 10 yaprak sertifikayı destekler.
  6. Alıcı ve düzenleyen: Kök sertifika güven dayanağı olarak kullanılır ve daha sonra zincirdeki tüm sertifikaları bu güven dayanağına göre doğrulamak için kullanılır. Sertifika zincirinin kök sertifikayı içerdiğinden emin olun.
Örnek sertifika zinciri
Alıcı Düzenleyen
OMENT (cihaz) Inter-CA1
Inter-CA1 Kök-CA
Kök-CA Kök-CA


Sertifika Zinciri Yükleme İşlemi

Tam sertifika zinciri elde edildikten sonra, OpenManage Enterprise yöneticisi, web kullanıcı arayüzü - "Application Settings -> Security - Certificates" (Uygulama Ayarları - Güvenlik - Sertifikalar) aracılığıyla zinciri yüklemelidir.
 
Sertifika gereksinimleri karşılamıyorsa web kullanıcı arayüzünde aşağıdaki hatalardan biri gösterilir:
  • CGEN1008: Bir hata oluştuğu için istek işlenemiyor
  • CSEC9002: Sağlanan sertifika dosyası geçersiz olduğundan sertifika yüklenemiyor.
Aşağıdaki bölümlerde hatalar, koşullu tetikleyiciler ve bunların nasıl düzeltileceği vurgulanmaktadır.

CGEN1008: Bir hata oluştuğu için istek işlenemiyor.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Sertifika yükleme hatası CGEN1008 Bir hata oluştuğu için istek işlenemiyor 
Aşağıdaki hata koşullarından herhangi biri karşılandığında CGEN1008 hatası görüntülenir:
  • Sertifika zinciri için geçersiz CSR anahtarı
    • Sertifikanın, OpenManage Enterprise web kullanıcı arayüzündeki CSR kullanılarak oluşturulduğundan emin olun. OpenManage Enterprise, CSR kullanılarak oluşturulmamış bir sertifikanın aynı cihazdan yüklenmesini desteklemez.
    • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Geçersiz sertifika zinciri
    • Kök ve tüm ara sertifika yetkililerinin sertifikaları sertifikaya dahil edilmelidir.
    • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Yaprak sertifikada Ortak Ad bulunamadı: Tüm sertifikalar ortak adları içermeli ve herhangi bir joker karakter (*) içermemelidir.
NOT: OpenManage Enterprise joker karakterli (*) sertifikaları desteklemez. Web kullanıcı arayüzünden ayırt edici adda bir joker karakter (*) kullanarak CSR oluşturmak aşağıdaki hataya neden olur:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Sertifika yükleme hatası CGEN6002 DistinguishedName için giriş değeri eksik olduğundan veya geçersiz bir değer girildiğinden istek tamamlanamıyor 
  • Yaprak sertifikada İstemci ve Sunucu Kimlik Doğrulama Genişletilmiş Anahtar Kullanımı (EKU) yok
    • Genişletilmiş anahtar kullanımı için sertifika hem Sunucu hem de İstemci kimlik doğrulamasını içermelidir.
    • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Gelişmiş anahtar kullanımı için sertifika ayrıntılarını inceleyin. İkisi de eksikse sertifikayı oluşturmak için kullanılan şablonun ikisi için de etkinleştirildiğinden emin olun.
Hem sunucu hem de istemci kimlik doğrulaması için gelişmiş anahtar kullanımını gösteren sertifika ayrıntıları 
  • Anahtar kullanımı için eksik anahtar şifrelemesi
    • Yüklenen sertifika, anahtar kullanımı için listelenen anahtar şifrelemesine sahip olmalıdır.
    • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Anahtar kullanımı için sertifika ayrıntılarını inceleyin. Sertifikayı oluşturmak için kullanılan şablonda anahtar şifrelemenin etkin olduğundan emin olun.
Anahtar şifreleme için anahtar kullanımını gösteren sertifika ayrıntıları 
 

CSEC9002: Sağlanan sertifika dosyası geçersiz olduğundan sertifika yüklenemiyor.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Sertifika yükleme hatası CSEC9002: Sağlanan sertifika dosyası geçersiz olduğundan sertifika yüklenemiyor.
 
Aşağıdaki hata koşullarından herhangi biri karşılandığında CSEC9002 hatası görüntülenir: 
  • Sunucu sertifikası eksik anahtar şifrelemesi
    • Sertifikayı oluşturmak için kullanılan şablonda anahtar şifrelemenin etkin olduğundan emin olun. Geçiş için bir sertifikadan yararlanırken tek bir sunucu sertifikası yerine tam sertifika zincirinin yüklendiğinden emin olun.
    • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Sertifika dosyası yanlış kodlama içeriyor
    • Sertifika dosyasının Base 64 kodlaması kullanılarak kaydedildiğinden emin olun.
    • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Geçiş Bağlantısı Doğrulama İşlemi

Sertifika zincirini başarıyla yükledikten sonra, geçiş sürecine bir sonraki adımla devam edilebilir, bu adım kaynak ve hedef konsollar arasında bağlantı kurmaktır. Bu adımda OpenManage Enterprise yöneticisi, kaynak ve hedef konsollar için IP adresini ve yerel yönetici kimlik bilgilerini sağlar.
 
Bağlantı doğrulanırken aşağıdaki öğeler kontrol edilir:
  • Alıcı ve düzenleyen: Kaynak ve hedef sertifikalar arasındaki zincirde yer alan sertifika yetkilileri aynı "alıcı" ve "düzenleyen" adlarına sahiptir. Bu adlar eşleşmezse kaynak veya hedef, sertifikaların aynı imza yetkilileri tarafından verildiğini doğrulayamaz. Bu, Sıfır Güven güvenlik çerçevesine bağlı kalmak için çok önemlidir.
Kaynak ve hedef arasında geçerli sertifika zinciri
Kaynak Sertifika     Hedef Sertifika  
Alıcı Düzenleyen   Alıcı Düzenleyen
OMENT-310 (kaynak) Inter-CA1 <-> OMENT-400 (hedef) Inter-CA1
Inter-CA1 Kök-CA <-> Inter-CA1 Kök-CA
Kök-CA Kök-CA <-> Kök-CA Kök-CA
 
 
Kaynak ve hedef arasında geçersiz sertifika zinciri
Kaynak Sertifika     Hedef Sertifika  
Alıcı Düzenleyen   Alıcı Düzenleyen
OMENT-310 (kaynak) Inter-CA1 X OMENT-400 (hedef) Inter-CA2
Inter-CA1 Kök-CA X Inter-CA2 Kök-CA
Kök-CA Kök-CA <-> Kök-CA Kök-CA
 
  • Geçerlilik süresi: Sertifika geçerlilik süresini cihazın tarih ve saatiyle birlikte kontrol eder.
  • Maksimum derinlik: Sertifika zincirinin maksimum 10 yaprak sertifika derinliğini aşmadığını doğrular.
Sertifikalar yukarıdaki gereksinimleri karşılamıyorsa konsol bağlantılarını doğrulamaya çalışırken aşağıdaki hata görüntülenir:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Geçiş bağlantısı doğrulama hatası: Karşılıklı kimlik doğrulaması yapılamıyor ve uzak cihaza bağlanılamıyor. 

Sertifika Zinciri Gerekliliğini Atlama

Gerekli sertifika zincirinin yüklenmesiyle ilgili sorunlar devam ederse kendinden imzalı sertifikadan yararlanmak için kullanılabilecek ve desteklenen bir yöntem mevcuttur.

Aşağıdaki makalede belirtildiği gibi yedekleme ve geri yükleme özelliğinden yararlanmaya devam edin:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

受影响的产品

Dell EMC OpenManage Enterprise
文章属性
文章编号: 000221202
文章类型: How To
上次修改时间: 11 6月 2024
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。