Data Domain: Konfigurering av KMIP (External Key Manager) mislykkes når det finnes en klareringskjede for KMIP-serversertifikatet
Summary: Når du konfigurerer en ekstern nøkkelbehandling (PSTP), hvis klarering mellom DD og KMIP-serveren er gjennom en klareringskjede (KMIP-sertifikatet utstedes ikke av en rot-CA, men av en mellomliggende CA), kan ikke dette konfigureres på riktig måte fra enten DD CLI eller brukergrensesnittet. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CLI- eller webgrensesnittet kan brukes til å konfigurere en ekstern nøkkelbehandling ved hjelp av KMIP-protokollen, for FS-kryptering eller annen bruk.
På et tidspunkt i prosessen ber DD om det offentlige sertifikatet som samsvarer med roten til sertifiseringsinstansen (CA), som brukes til å signere for sertifikatet som brukes av KMIP-serveren til å godkjenne seg selv.
Hvis KMIP-sertifikatet ikke ble utstedt av CA-roten, men av en mellomliggende CA, måtte alle de offentlige sertifikatene for mellomliggende CAS-er sendes til DD-koncatenated i tekstlig PEM-skjema.
I dette tilfellet, til tross for at filen med klareringskjeden er riktig, klarer ikke DD KMIP-serverens SSL-sertifikat, og feil som nedenfor vil ses i loggene (ddfs.info /messages.engineering / kmip.log):
Status for ekstern nøkkelbehandling vises som nedenfor fra DD CLI (filesys encryption key-manager show):
På et tidspunkt i prosessen ber DD om det offentlige sertifikatet som samsvarer med roten til sertifiseringsinstansen (CA), som brukes til å signere for sertifikatet som brukes av KMIP-serveren til å godkjenne seg selv.
Hvis KMIP-sertifikatet ikke ble utstedt av CA-roten, men av en mellomliggende CA, måtte alle de offentlige sertifikatene for mellomliggende CAS-er sendes til DD-koncatenated i tekstlig PEM-skjema.
I dette tilfellet, til tross for at filen med klareringskjeden er riktig, klarer ikke DD KMIP-serverens SSL-sertifikat, og feil som nedenfor vil ses i loggene (ddfs.info /messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Status for ekstern nøkkelbehandling vises som nedenfor fra DD CLI (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
Fra og med mars 2023 er cli- og webgrensesnittarbeidsflyten slik at DDOS ikke tillater import av flere CA-sertifikater som KMIP kan klarere. Dette er designet.
Når KMIP-serversertifikatet ikke er signert av rot-CA, nekter DDOS å godta alle sertifikater i kjeden, og dermed kan ikke DD kobles trygt til KMIP-serveren ved hjelp av SSL, fordi det ikke vil klarere KMIP-serversertifikatets utsteder (mellomliggende) CA.
Når KMIP-serversertifikatet ikke er signert av rot-CA, nekter DDOS å godta alle sertifikater i kjeden, og dermed kan ikke DD kobles trygt til KMIP-serveren ved hjelp av SSL, fordi det ikke vil klarere KMIP-serversertifikatets utsteder (mellomliggende) CA.
Resolution
Midlertidig løsning:
Kontakt DELL Data Domain Support for å få hjelp til å utføre denne konfigurasjonen utenfor det vanlige CLI- og webgrensesnittet. Dette krever ingen nedetid, men trenger tilgang på BASH-nivå, slik at filen med klareringskjeden for KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Hvis signerings-CA ikke er rotversjonen, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet når du konfigurerer KMIP for eksterne nøkkeladministratorer. Hvis signerings-CA ikke er rotnummeret, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet.
Kontakt DELL Data Domain Support for å få hjelp til å utføre denne konfigurasjonen utenfor det vanlige CLI- og webgrensesnittet. Dette krever ingen nedetid, men trenger tilgang på BASH-nivå, slik at filen med klareringskjeden for KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Hvis signerings-CA ikke er rotversjonen, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet når du konfigurerer KMIP for eksterne nøkkeladministratorer. Hvis signerings-CA ikke er rotnummeret, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet.
Affected Products
Data DomainArticle Properties
Article Number: 000211676
Article Type: Solution
Last Modified: 19 July 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.