Data Domain: Die Konfiguration des externen Key Manager (KMIP) schlägt fehl, wenn eine Vertrauenskette für das KMIP-Serverzertifikat vorhanden ist.
Zusammenfassung: Wenn bei der Konfiguration eines externen Key Manager (KIMP) die Vertrauensbeziehung zwischen dem DD- und dem KMIP-Server über eine Vertrauenskette erfolgt (das KMIP-Zertifikat wird nicht von einer Stammzertifizierungsstelle ausgestellt, sondern von einer zwischengeschalteten Zertifizierungsstelle), kann dies weder über die DD-CLI noch über die Benutzeroberfläche ordnungsgemäß konfiguriert werden. ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Die CLI oder Webbenutzeroberfläche kann verwendet werden, um einen externen Key Manager mithilfe des KMIP-Protokolls für die FS-Verschlüsselung oder andere Verwendungszwecke einzurichten.
Zu einem bestimmten Zeitpunkt des Prozesses fragt DD nach dem öffentlichen Zertifikat, das dem Stamm der Zertifizierungsstelle (CA) entspricht, die zum Signieren des Zertifikats verwendet wird, das vom KMIP-Server zur Selbstauthentifizierung verwendet wird.
Wenn das KMIP-Zertifikat nicht vom Stammverzeichnis der Zertifizierungsstelle ausgestellt wurde, sondern von einer zwischengeschalteten Zertifizierungsstelle, müssten alle öffentlichen Zertifikate der zwischengeschalteten Zertifizierungsstellen in textueller Form an die DD verkettet werden.
In diesem Fall kann die DD dem KMIP-Server-SSL-Zertifikat nicht vertrauen, obwohl die Datei mit der Vertrauenskette korrekt ist, und Fehler wie unten werden in den Protokollen angezeigt (ddfs.info / messages.engineering / kmip.log):
Der Status des externen Key Manager wird wie unten in der DD-CLI angezeigt (filesys encryption key-manager show):
Zu einem bestimmten Zeitpunkt des Prozesses fragt DD nach dem öffentlichen Zertifikat, das dem Stamm der Zertifizierungsstelle (CA) entspricht, die zum Signieren des Zertifikats verwendet wird, das vom KMIP-Server zur Selbstauthentifizierung verwendet wird.
Wenn das KMIP-Zertifikat nicht vom Stammverzeichnis der Zertifizierungsstelle ausgestellt wurde, sondern von einer zwischengeschalteten Zertifizierungsstelle, müssten alle öffentlichen Zertifikate der zwischengeschalteten Zertifizierungsstellen in textueller Form an die DD verkettet werden.
In diesem Fall kann die DD dem KMIP-Server-SSL-Zertifikat nicht vertrauen, obwohl die Datei mit der Vertrauenskette korrekt ist, und Fehler wie unten werden in den Protokollen angezeigt (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Der Status des externen Key Manager wird wie unten in der DD-CLI angezeigt (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Ursache
Ab März 2023 ist der CLI- und Web-UI-Workflow so, dass DDOS den Import mehrerer CA-Zertifikate für KMIP nicht zulässt. Das ist beabsichtigt.
Wenn das KMIP-Serverzertifikat nicht von der Stammzertifizierungsstelle signiert wurde, verweigert DDOS die Annahme aller Zertifikate in der Kette, daher kann sich DD nicht sicher mit dem KMIP-Server über SSL verbinden, da es der Aussteller-CA des KMIP-Serverzertifikats nicht vertraut.
Wenn das KMIP-Serverzertifikat nicht von der Stammzertifizierungsstelle signiert wurde, verweigert DDOS die Annahme aller Zertifikate in der Kette, daher kann sich DD nicht sicher mit dem KMIP-Server über SSL verbinden, da es der Aussteller-CA des KMIP-Serverzertifikats nicht vertraut.
Lösung
Problemumgehung:
Wenden Sie sich an den Dell Data Domain-Support, um Unterstützung bei der Durchführung dieser Konfiguration außerhalb der regulären CLI und Webbenutzeroberfläche zu erhalten. Dies erfordert keine Ausfallzeiten, benötigt aber Zugriff auf BASH-Ebene, sodass die Datei mit der Vertrauenskette für den KMIP-Server manuell auf dem System erstellt werden kann.
Dauerhafte Lösung:
Es gibt keine Zielversion für diese Funktion, die zu DDOS hinzugefügt werden soll, sodass bei der Konfiguration von KMIP für externe Key-Manager alle Zwischenzertifikate von der CLI oder der Webbenutzeroberfläche importiert werden können, wenn die Signierungs-CA nicht das Stammzertifikat ist.
Wenden Sie sich an den Dell Data Domain-Support, um Unterstützung bei der Durchführung dieser Konfiguration außerhalb der regulären CLI und Webbenutzeroberfläche zu erhalten. Dies erfordert keine Ausfallzeiten, benötigt aber Zugriff auf BASH-Ebene, sodass die Datei mit der Vertrauenskette für den KMIP-Server manuell auf dem System erstellt werden kann.
Dauerhafte Lösung:
Es gibt keine Zielversion für diese Funktion, die zu DDOS hinzugefügt werden soll, sodass bei der Konfiguration von KMIP für externe Key-Manager alle Zwischenzertifikate von der CLI oder der Webbenutzeroberfläche importiert werden können, wenn die Signierungs-CA nicht das Stammzertifikat ist.
Betroffene Produkte
Data DomainArtikeleigenschaften
Artikelnummer: 000211676
Artikeltyp: Solution
Zuletzt geändert: 27 Mai 2026
Version: 4
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.