Data Domain: A configuração do KMIP (External Key Manager) falha quando há uma cadeia de confiança para o certificado do servidor KMIP
Summary: Ao configurar um GERENCIADOR de chaves externo (KIMP), se a confiança entre o DD e o servidor KMIP for por meio de uma cadeia de confiança (o certificado KMIP não é emitido por uma CA raiz, mas por uma CA intermediária), isso não pode ser configurado corretamente a partir da CLI do DD ou da interface do usuário do. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
A CLI ou a interface do usuário da Web pode ser usada para configurar um gerenciador de chaves externo usando o protocolo KMIP, para criptografia FS ou outros usos.
Em algum momento do processo, o DD solicita o certificado público correspondente à raiz da CA (Certification Authority, autoridade de certificação) usada para assinar o certificado usado pelo servidor KMIP para se autenticar.
Se o certificado KMIP não foi emitido pela raiz da CA, mas por uma CA intermediária, todos os certificados públicos dos CAs intermediários precisariam ser passados para o DD concatenado em formato textual, PEM.
Nesse caso, apesar de o arquivo com a cadeia de confiança estar correta, o DD não confiará no certificado SSL do servidor KMIP, e erros como o abaixo serão vistos nos registros (ddfs.info / messages.engineering / kmip.log):
Com o status do gerenciador de chaves externo exibido como abaixo na CLI do DD (filesys encryption key manager show):
Em algum momento do processo, o DD solicita o certificado público correspondente à raiz da CA (Certification Authority, autoridade de certificação) usada para assinar o certificado usado pelo servidor KMIP para se autenticar.
Se o certificado KMIP não foi emitido pela raiz da CA, mas por uma CA intermediária, todos os certificados públicos dos CAs intermediários precisariam ser passados para o DD concatenado em formato textual, PEM.
Nesse caso, apesar de o arquivo com a cadeia de confiança estar correta, o DD não confiará no certificado SSL do servidor KMIP, e erros como o abaixo serão vistos nos registros (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Com o status do gerenciador de chaves externo exibido como abaixo na CLI do DD (filesys encryption key manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
A partir de março de 2023, o fluxo de trabalho da CLI e da IU da Web é tal que o DDOS não permite a importação de vários certificados CA para a confiança do KMIP. Isso é por padrão.
Quando o certificado do servidor KMIP não é assinado pela CA raiz, o DDOS se recusa a aceitar todos os certificados na cadeia, portanto, o DD não pode se conectar com segurança ao servidor KMIP usando SSL, pois não confiará no emissão do certificado do servidor KMIP (intermediário).
Quando o certificado do servidor KMIP não é assinado pela CA raiz, o DDOS se recusa a aceitar todos os certificados na cadeia, portanto, o DD não pode se conectar com segurança ao servidor KMIP usando SSL, pois não confiará no emissão do certificado do servidor KMIP (intermediário).
Resolution
Solução temporária: entre em contato
com o suporte do Dell Data Domain para obter assistência na realização dessa configuração fora da CLI regular e da interface do usuário da Web. Isso não exigirá tempo de inatividade, mas precisa de acesso no nível BASH para que o arquivo com a cadeia de confiança do servidor KMIP possa ser criado manualmente no sistema.
Solução permanente:
não há nenhuma versão de destino para que essa funcionalidade seja adicionada ao DDOS, de modo que, ao configurar o KMIP para gerenciadores de chaves externos, se a CA de assinatura não for a raiz, todos os certificados intermediários poderão ser importados da CLI ou da interface do usuário da Web.
com o suporte do Dell Data Domain para obter assistência na realização dessa configuração fora da CLI regular e da interface do usuário da Web. Isso não exigirá tempo de inatividade, mas precisa de acesso no nível BASH para que o arquivo com a cadeia de confiança do servidor KMIP possa ser criado manualmente no sistema.
Solução permanente:
não há nenhuma versão de destino para que essa funcionalidade seja adicionada ao DDOS, de modo que, ao configurar o KMIP para gerenciadores de chaves externos, se a CA de assinatura não for a raiz, todos os certificados intermediários poderão ser importados da CLI ou da interface do usuário da Web.
Affected Products
Data DomainArticle Properties
Article Number: 000211676
Article Type: Solution
Last Modified: 19 July 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.