Data Domain:KMIPサーバー証明書の信頼チェーンがある場合、外部キー マネージャー(KMIP)の構成が失敗する
Summary: 外部キー マネージャー(KIMP)を構成する場合、DDとKMIPサーバー間の信頼が信頼チェーンを介している場合(KMIP証明書はルートCAによって発行されず、中間CAによって発行されます)、DD CLIまたはUIから適切に構成することはできません。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CLIまたはWeb UIを使用して、KMIPプロトコルを使用して外部キー マネージャーをセットアップし、FS暗号化やその他の用途に使用できます。
プロセスのある時点で、DDは、KMIPサーバーが自身を認証するために使用する証明書の署名に使用される認証局(CA)のルートに対応するパブリック証明書を要求します。
KMIP証明書がCAルートによって発行されていないが、中間CAによって発行された場合、中間CAのパブリック証明書はすべて、テキスト形式のPEM形式で連結されたDDに渡す必要があります。
この場合、信頼チェーンが正しいファイルであるにもかかわらず、DDはKMIPサーバーのSSL証明書を信頼できず、次のようなエラーがログ(ddfs.info/messages.engineering/kmip.log)に表示されます。
外部キー マネージャーのステータスがDD CLIから以下のように表示されている場合(filesys encryption key-manager show):
プロセスのある時点で、DDは、KMIPサーバーが自身を認証するために使用する証明書の署名に使用される認証局(CA)のルートに対応するパブリック証明書を要求します。
KMIP証明書がCAルートによって発行されていないが、中間CAによって発行された場合、中間CAのパブリック証明書はすべて、テキスト形式のPEM形式で連結されたDDに渡す必要があります。
この場合、信頼チェーンが正しいファイルであるにもかかわらず、DDはKMIPサーバーのSSL証明書を信頼できず、次のようなエラーがログ(ddfs.info/messages.engineering/kmip.log)に表示されます。
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
外部キー マネージャーのステータスがDD CLIから以下のように表示されている場合(filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
2023年3月の時点で、CLIとWeb UIのワークフローでは、DDOSはKMIPに対する複数のCA証明書のインポートを信頼できません。これは設計によるものです。
KMIPサーバー証明書がルートCAによって署名されていない場合、DDOSはチェーン内のすべての証明書の受け入れを拒否するため、DDはSSLを使用してKMIPサーバーに安全に接続できません。これは、KMIPサーバー証明書の発行者(中間)CAを信頼しないためです。
KMIPサーバー証明書がルートCAによって署名されていない場合、DDOSはチェーン内のすべての証明書の受け入れを拒否するため、DDはSSLを使用してKMIPサーバーに安全に接続できません。これは、KMIPサーバー証明書の発行者(中間)CAを信頼しないためです。
Resolution
対策 :
通常のCLIおよびWeb UIの外部でこの構成を実行するサポートについては、Dell Data Domainサポートにお問い合わせください。これにはダウンタイムは必要ありませんが、KMIPサーバーの信頼チェーンを持つファイルをシステム上に手動で構築できるように、BASHレベルのアクセスが必要です。
永続的な解決策:
この機能をDDOSに追加するターゲット リリースはありません。そのため、外部キー マネージャー用にKMIPを構成する際に、署名CAがrootでない場合は、CLIまたはWeb UIからすべての中間証明書をインポートできます。
通常のCLIおよびWeb UIの外部でこの構成を実行するサポートについては、Dell Data Domainサポートにお問い合わせください。これにはダウンタイムは必要ありませんが、KMIPサーバーの信頼チェーンを持つファイルをシステム上に手動で構築できるように、BASHレベルのアクセスが必要です。
永続的な解決策:
この機能をDDOSに追加するターゲット リリースはありません。そのため、外部キー マネージャー用にKMIPを構成する際に、署名CAがrootでない場合は、CLIまたはWeb UIからすべての中間証明書をインポートできます。
Affected Products
Data DomainArticle Properties
Article Number: 000211676
Article Type: Solution
Last Modified: 19 July 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.