Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000221202

Rozwiązywanie problemów z łańcuchem certyfikatów wymaganych dla OpenManage Enterprise Migration

Summary: Administratorzy oprogramowania OpenManage Enterprise mogą napotkać kilka błędów podczas przesyłania łańcucha certyfikatów (CGEN1008 i CSEC9002) oraz weryfikacji połączenia. Poniżej znajduje się przewodnik, który może pomóc administratorom oprogramowania OpenManage Enterprise w przypadku napotkania błędów na tym etapie procesu migracji. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Instructions

Proces migracji urządzeń wykorzystuje wzajemny protokół TLS (mTLS). Ten typ uwierzytelniania wzajemnego jest używany w ramach modelu bezpieczeństwa Zero Trust, w którym domyślnie nic nie jest zaufane.
 
W typowej wymianie TLS serwer posiada certyfikat TLS oraz parę kluczy publicznych i prywatnych. Klient weryfikuje certyfikat serwera, a następnie kontynuuje wymianę informacji za pośrednictwem zaszyfrowanej sesji. W przypadku protokołu mTLS zarówno klient, jak i serwer weryfikują certyfikat przed rozpoczęciem wymiany danych.
Schemat komunikacji między klientem a serwerem mTLS 
Każde urządzenie OpenManage Enterprise, które korzysta z certyfikatu podpisanego przez inną firmę, musi przesłać łańcuch certyfikatów przed kontynuowaniem operacji migracji. Łańcuch certyfikatów to uporządkowana lista certyfikatów zawierająca certyfikat SSL/TLS i certyfikaty urzędu certyfikacji (CA). Łańcuch rozpoczyna się od certyfikatu autonomicznego, a każdy certyfikat w łańcuchu jest podpisywany przez jednostkę identyfikowaną przez następny certyfikat w łańcuchu.
  • Certificate = certyfikat podpisany przez instytucję certyfikującą (autonomiczny)
  • Certificate Chain = certyfikat podpisany przez instytucję certyfikującą + pośredni certyfikat urzędu certyfikacji (jeśli istnieje) + certyfikat głównego urzędu certyfikacji
Łańcuch certyfikatów musi spełniać następujące wymagania, w przeciwnym razie administrator zostanie powiadomiony o błędach.
 

Wymagania dotyczące łańcucha certyfikatów dla migracji 

  1. Certificate Signing Request key matches — podczas przekazywania certyfikatu klucz żądania podpisania certyfikatu (CSR) jest sprawdzany. Oprogramowanie OpenManage Enterprise obsługuje tylko przesyłanie certyfikatów, które są żądane za pomocą żądania podpisanego certyfikatu (CSR) przez to urządzenie. Sprawdzanie poprawności jest wykonywane podczas przesyłania zarówno pojedynczego certyfikatu serwera, jak i łańcucha certyfikatów.
  2. Kodowanie certyfikatów — plik certyfikatu wymaga kodowania Base 64. Upewnij się, że podczas zapisywania wyeksportowanego certyfikatu z urzędu certyfikacji używane jest kodowanie Base 64, w przeciwnym razie plik certyfikatu zostanie uznany za nieprawidłowy.
  3. Sprawdź poprawność użycia klucza rozszerzonego certyfikatu — sprawdź, czy użycie klucza jest włączone zarówno dla uwierzytelniania serwera, jak i uwierzytelniania klienta. Wynika to z faktu, że migracja jest dwukierunkową komunikacją między źródłem i obiektem docelowym, w której każdy z nich może działać jako serwer i klient podczas wymiany informacji. W przypadku certyfikatów pojedynczego serwera wymagane jest tylko uwierzytelnianie serwera.
  4. Certyfikat jest włączony do szyfrowania klucza — szablon certyfikatu użyty do wygenerowania certyfikatu musi zawierać szyfrowanie klucza. Dzięki temu klucze w certyfikacie mogą być używane do szyfrowania komunikacji.
  5. Łańcuch certyfikatów z certyfikatem głównym — certyfikat zawiera pełny łańcuch zawierający certyfikat główny. Jest to wymagane dla źródła i obiektu docelowego, aby upewnić się, że oba elementy są zaufane. Certyfikat główny jest dodawany do zaufanego magazynu głównego każdego urządzenia. WAŻNE: OpenManage Enterprise obsługuje maksymalnie 10 certyfikatów wiodących w łańcuchu certyfikatów.
  6. Wystawiony dla i wystawiony przez — certyfikat główny jest używany jako kotwica zaufania, a następnie używany do sprawdzania poprawności wszystkich certyfikatów w łańcuchu względem tej kotwicy zaufania. Upewnij się, że łańcuch certyfikatów zawiera certyfikat główny.
Przykładowy łańcuch certyfikatów
Wydane do Wydane przez
OMENT (urządzenie) Inter-CA1
Inter-CA1 Główny urząd certyfikacji
Główny urząd certyfikacji Główny urząd certyfikacji


Operacja przesyłania łańcucha certyfikatów

Po uzyskaniu pełnego łańcucha certyfikatów administrator OpenManage Enterprise musi przesłać łańcuch za pośrednictwem interfejsu sieciowego "Ustawienia aplikacji -> Zabezpieczenia - Certyfikaty".
 
Jeśli certyfikat nie spełnia wymagań, w interfejsie sieciowym zostanie wyświetlony jeden z następujących błędów:
  • CGEN1008 — nie można przetworzyć żądania, ponieważ wystąpił błąd
  • CSEC9002 — nie można przekazać certyfikatu, ponieważ podany plik certyfikatu jest nieprawidłowy.
W poniższych sekcjach przedstawiono błędy, wyzwalacze warunkowe i sposoby ich korygowania.

CGEN1008 — nie można przetworzyć żądania, ponieważ wystąpił błąd.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Błąd przesyłania certyfikatu CGEN1008 Nie można przetworzyć żądania, ponieważ wystąpił błąd 
Błąd CGEN1008 jest wyświetlany, jeśli spełniony jest którykolwiek z następujących warunków błędu:
  • Nieprawidłowy klucz CSR dla łańcucha certyfikatów
    • Upewnij się, że certyfikat został wygenerowany przy użyciu CSR z interfejsu sieciowego oprogramowania OpenManage Enterprise. Oprogramowanie OpenManage Enterprise nie obsługuje przesyłania certyfikatu, który nie został wygenerowany przy użyciu CSR z tego samego urządzenia.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Nieprawidłowy łańcuch certyfikatów
    • Certyfikat główny i certyfikaty wszystkich pośrednich urzędów certyfikacji muszą być zawarte w certyfikacie.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Nie znaleziono nazwy pospolitej w certyfikacie liścia — wszystkie certyfikaty muszą zawierać nazwy pospolite i nie mogą zawierać żadnych symboli wieloznacznych (*).
UWAGA: Oprogramowanie OpenManage Enterprise nie obsługuje certyfikatów z symbolami wieloznacznymi (*). Generowanie żądania CSR z internetowego interfejsu użytkownika przy użyciu symbolu wieloznacznego (*) w nazwie wyróżniającej powoduje wygenerowanie następującego błędu: 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Błąd przekazywania certyfikatu CGEN6002 Nie można ukończyć żądania, ponieważ brakuje wartości wejściowej dla DistinguishedName lub wprowadzono nieprawidłową wartość 
  • W certyfikacie liścia nie ma rozszerzonego użycia klucza (EKU) uwierzytelniania klienta i serwera
    • Certyfikat musi obejmować zarówno uwierzytelnianie serwera, jak i klienta, aby można było korzystać z klucza rozszerzonego.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Przejrzyj szczegóły certyfikatu, aby uzyskać informacje na temat rozszerzonego użycia klucza. Jeśli brakuje któregokolwiek z nich, upewnij się, że szablon użyty do wygenerowania certyfikatu jest włączony dla obu.
Szczegóły certyfikatu pokazujące ulepszone wykorzystanie klucza do uwierzytelniania serwera i klienta 
  • Brak szyfrowania klucza dla użycia klucza
    • Przesyłany certyfikat musi mieć wymienione szyfrowanie klucza w celu użycia klucza.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Przejrzyj szczegóły certyfikatu dotyczące użycia klucza. Upewnij się, że szablon użyty do wygenerowania certyfikatu ma włączone szyfrowanie klucza.
Szczegóły certyfikatu pokazujące użycie klucza do szyfrowania klucza 
 

CSEC9002 — Nie można przekazać certyfikatu, ponieważ podany plik certyfikatu jest nieprawidłowy.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Błąd przesyłania certyfikatu CSEC9002 Nie można przesłać certyfikatu, ponieważ podany plik certyfikatu jest nieprawidłowy.
 
Błąd CSEC9002 jest wyświetlany, jeśli spełniony jest którykolwiek z następujących warunków błędu: 
  • Szyfrowanie braku klucza certyfikatu serwera
    • Upewnij się, że szablon użyty do wygenerowania certyfikatu ma włączone szyfrowanie klucza. W przypadku korzystania z certyfikatu do migracji należy upewnić się, że przekazano pełny łańcuch certyfikatów, a nie pojedynczy certyfikat serwera.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Plik certyfikatu zawiera nieprawidłowe kodowanie
    • Upewnij się, że plik certyfikatu został zapisany przy użyciu kodowania Base 64.
    • W dzienniku aplikacji tomcat znajdującym się w pakiecie dzienników konsoli widoczny jest następujący błąd:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operacja weryfikacji połączenia migracji

Po pomyślnym przesłaniu łańcucha certyfikatów proces migracji może przejść do kolejnego kroku - nawiązania połączenia między konsolą źródłową i docelową. W tym kroku administrator OpenManage Enterprise dostarcza adres IP i poświadczenia administratora lokalnego dla konsoli źródłowej i docelowej.
 
Podczas sprawdzania poprawności połączenia sprawdzane są następujące elementy:
  • Wystawione dla i wydane przez – nazwy urzędów certyfikacji w łańcuchu między certyfikatami źródłowymi i docelowymi mają takie same wartości "wystawiony dla" i "wystawiony przez". Jeśli te nazwy nie są zgodne, źródło lub obiekt docelowy nie może zweryfikować, czy te same urzędy podpisujące wystawiły certyfikaty. Ma to kluczowe znaczenie dla przestrzegania zasad bezpieczeństwa Zero-Trust.
Prawidłowy łańcuch certyfikatów między źródłem i obiektem docelowym
Certyfikat źródłowy     Certyfikat docelowy  
Wydane do Wydane przez   Wydane do Wydane przez
OMENT-310 (źródło) Inter-CA1 <-> OMENT-400 (docelowy) Inter-CA1
Inter-CA1 Główny urząd certyfikacji <-> Inter-CA1 Główny urząd certyfikacji
Główny urząd certyfikacji Główny urząd certyfikacji <-> Główny urząd certyfikacji Główny urząd certyfikacji
 
 
Nieprawidłowy łańcuch certyfikatów między źródłem i obiektem docelowym
Certyfikat źródłowy     Certyfikat docelowy  
Wydane do Wydane przez   Wydane do Wydane przez
OMENT-310 (źródło) Inter-CA1 X OMENT-400 (docelowy) Inter-CA2
Inter-CA1 Główny urząd certyfikacji X Inter-CA2 Główny urząd certyfikacji
Główny urząd certyfikacji Główny urząd certyfikacji <-> Główny urząd certyfikacji Główny urząd certyfikacji
 
  • Okres ważności — sprawdza okres ważności certyfikatu z datą i godziną urządzenia.
  • Maksymalna głębokość — sprawdź, czy łańcuch certyfikatów nie przekracza maksymalnej głębokości 10 certyfikatów liścia.
Jeśli certyfikaty nie spełniają powyższych wymagań, podczas próby zweryfikowania połączeń konsoli pojawia się następujący błąd: 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Błąd sprawdzania poprawności połączenia migracji — nie można wzajemnie uwierzytelnić się i połączyć z urządzeniem zdalnym. 

Pomiń wymagania dotyczące łańcucha certyfikatów

Jeśli nadal występują problemy ze spełnianiem wymagań łańcucha certyfikatów, istnieje obsługiwana metoda, której można użyć do wykorzystania certyfikatów z podpisem własnym. Kontynuuj korzystanie z funkcji tworzenia kopii zapasowych i przywracania w sposób opisany w następującym artykule:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

Article Properties

Affected Product

Dell EMC OpenManage Enterprise

Last Published Date

25 نيسان 2024

Version

3

Article Type

How To

Back to Top