Data Domain. Настройка внешнего диспетчера ключей (KMIP) завершается сбоем при наличии цепочки доверия для сертификата сервера KMIP
Summary: Если при настройке внешнего диспетчера ключей (KIMP) доверие между DD и сервером KMIP обеспечивается посредством цепочки доверия (сертификат KMIP выдается не корневым ЦС, а промежуточным ЦС), это не может быть правильно настроено либо из интерфейса командной строки DD, либо из пользовательского интерфейса. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Интерфейс командной строки или веб-интерфейс можно использовать для настройки внешнего диспетчера ключей с использованием протокола KMIP, для шифрования файловой системы или других сценариев использования.
В какой-то момент процесса DD запрашивает общедоступный сертификат, соответствующий корневому каталогу центра сертификации (CA), который используется для подписи сертификата, используемого сервером KMIP для самотестирования.
Если сертификат KMIP был выдатирован не корнем ЦС, а промежуточным ЦС, все публичные сертификаты промежуточных ЦС должны быть переданы в DD, объединенную в текстовую форму PEM.
В этом случае, несмотря на правильность файла с цепочкой доверия, DD не будет доверять сертификату SSL сервера KMIP, и в журналах будут отображаться ошибки, подобные приведенным ниже (ddfs.info / messages.engineering / kmip.log):
Состояние внешнего диспетчера ключей отображается, как показано ниже, из интерфейса командной строки DD (filesys encryption key-manager show):
В какой-то момент процесса DD запрашивает общедоступный сертификат, соответствующий корневому каталогу центра сертификации (CA), который используется для подписи сертификата, используемого сервером KMIP для самотестирования.
Если сертификат KMIP был выдатирован не корнем ЦС, а промежуточным ЦС, все публичные сертификаты промежуточных ЦС должны быть переданы в DD, объединенную в текстовую форму PEM.
В этом случае, несмотря на правильность файла с цепочкой доверия, DD не будет доверять сертификату SSL сервера KMIP, и в журналах будут отображаться ошибки, подобные приведенным ниже (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Состояние внешнего диспетчера ключей отображается, как показано ниже, из интерфейса командной строки DD (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
По состоянию на март 2023 года рабочий процесс интерфейса командной строки и веб-интерфейса таков, что DDOS не позволяет импортировать несколько сертификатов ЦС для KMIP в доверие. Это разработка.
Если сертификат сервера KMIP не подписан корневым ЦС, DDOS отказывается принимать все сертификаты в цепочке, поэтому DD не может безопасно подключиться к серверу KMIP с использованием SSL, так как он не будет доверять ЦС-файлу сертификата сервера KMIP (промежуточный).
Если сертификат сервера KMIP не подписан корневым ЦС, DDOS отказывается принимать все сертификаты в цепочке, поэтому DD не может безопасно подключиться к серверу KMIP с использованием SSL, так как он не будет доверять ЦС-файлу сертификата сервера KMIP (промежуточный).
Resolution
Временное решение:Обратитесь в
службу поддержки Dell Data Domain за помощью в выполнении этой конфигурации за пределами обычного интерфейса командной строки и веб-интерфейса пользователя. Для этого не требуется простоев, но требуется доступ на уровне BASH, чтобы файл с цепочкой доверия для сервера KMIP можно было вручную со встроенной системой.
Окончательное решение.Нет
целевого выпуска для этой функции, которую необходимо добавить в DDOS, поэтому при настройке KMIP для внешних диспетчеров ключей, если ЦС подписи не является корневым, все промежуточные сертификаты можно импортировать из интерфейса командной строки или веб-интерфейса пользователя.
службу поддержки Dell Data Domain за помощью в выполнении этой конфигурации за пределами обычного интерфейса командной строки и веб-интерфейса пользователя. Для этого не требуется простоев, но требуется доступ на уровне BASH, чтобы файл с цепочкой доверия для сервера KMIP можно было вручную со встроенной системой.
Окончательное решение.Нет
целевого выпуска для этой функции, которую необходимо добавить в DDOS, поэтому при настройке KMIP для внешних диспетчеров ключей, если ЦС подписи не является корневым, все промежуточные сертификаты можно импортировать из интерфейса командной строки или веб-интерфейса пользователя.
Affected Products
Data DomainArticle Properties
Article Number: 000211676
Article Type: Solution
Last Modified: 19 July 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.