Data Domain: Konfiguration af ekstern nøglehåndtering (KMIP) mislykkes, når der er en tillidskæde til KMIP-servercertifikatet
Summary: Når du konfigurerer en ekstern nøglehåndtering (KIMP), og hvis tillid mellem DD og KMIP-serveren foregår gennem en tillidskæde (KMIP-certifikatet ikke udstedes af et rodnøglecenter, men af et mellemliggende nøglecenter), kan dette ikke konfigureres korrekt fra hverken DD CLI eller brugergrænsefladen. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CLI- eller webbrugergrænsefladen kan bruges til at konfigurere en ekstern nøgleadministrator ved hjælp af KMIP-protokollen, til FS-kryptering eller anden brug.
På et tidspunkt i processen anmoder DD om det offentlige certifikat, der svarer til roden på det nøglecenter, der bruges til at underskrive for det certifikat, der bruges af KMIP-serveren, til at godkende sig selv.
Hvis KMIP-certifikatet ikke blev udstedt af NØGLECENTER-roden, men af et mellemliggende nøglecenter, skal alle de mellemliggende nøglecentres offentlige certifikater overføres til den DD, der er sammenkædet med en tekstbaseret PEM-formular.
I dette tilfælde vil DD ikke have tillid til KMIP-serverens SSL-certifikat, selvom filen er korrekt, og fejl som f.eks. nedenfor kan ses i logfilerne (ddfs.info / messages.engineering / kmip.log):
Status for den eksterne key manager vises som nedenfor fra DD CLI (filys krypteringsnøgleadministrator vises):
På et tidspunkt i processen anmoder DD om det offentlige certifikat, der svarer til roden på det nøglecenter, der bruges til at underskrive for det certifikat, der bruges af KMIP-serveren, til at godkende sig selv.
Hvis KMIP-certifikatet ikke blev udstedt af NØGLECENTER-roden, men af et mellemliggende nøglecenter, skal alle de mellemliggende nøglecentres offentlige certifikater overføres til den DD, der er sammenkædet med en tekstbaseret PEM-formular.
I dette tilfælde vil DD ikke have tillid til KMIP-serverens SSL-certifikat, selvom filen er korrekt, og fejl som f.eks. nedenfor kan ses i logfilerne (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Status for den eksterne key manager vises som nedenfor fra DD CLI (filys krypteringsnøgleadministrator vises):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
Fra og med marts 2023 er arbejdsprocesserne for CLI og webbrugergrænsefladen sådan, at DDOS ikke tillader import af flere CA-certifikater, som KMIP har tillid til. Dette er tilsigtet.
Når KMIP-servercertifikatet ikke er signeret af rodnøglecenteret, nægter DDOS at acceptere alle certifikater i kæden, hvorfor DD ikke kan oprette sikker forbindelse til KMIP-serveren ved hjælp af SSL, fordi det ikke vil have tillid til KMIP-servercertifikatets udsteder (mellemliggende) CA.
Når KMIP-servercertifikatet ikke er signeret af rodnøglecenteret, nægter DDOS at acceptere alle certifikater i kæden, hvorfor DD ikke kan oprette sikker forbindelse til KMIP-serveren ved hjælp af SSL, fordi det ikke vil have tillid til KMIP-servercertifikatets udsteder (mellemliggende) CA.
Resolution
Løsning:
Kontakt DELL Data Domain Support for at få hjælp til at udføre denne konfiguration uden for den almindelige CLI- og webbrugergrænseflade. Dette kræver ingen nedetid, men kræver bash-niveauadgang, så filen med tillidskæden til KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Der er ingen destinationsversion for at føje denne funktionalitet til DDOS, så når du konfigurerer KMIP til eksterne nøgleadministratorer, og hvis signering af CA ikke er root one, kan alle mellemliggende certifikater importeres fra CLI eller webbrugergrænsefladen.
Kontakt DELL Data Domain Support for at få hjælp til at udføre denne konfiguration uden for den almindelige CLI- og webbrugergrænseflade. Dette kræver ingen nedetid, men kræver bash-niveauadgang, så filen med tillidskæden til KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Der er ingen destinationsversion for at føje denne funktionalitet til DDOS, så når du konfigurerer KMIP til eksterne nøgleadministratorer, og hvis signering af CA ikke er root one, kan alle mellemliggende certifikater importeres fra CLI eller webbrugergrænsefladen.
Affected Products
Data DomainArticle Properties
Article Number: 000211676
Article Type: Solution
Last Modified: 19 July 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.