Data Domain: KMIP sunucu sertifikası için bir güven zinciri olduğunda harici anahtar yöneticisini (KMIP) yapılandırma başarısız oluyor
Summary: Harici anahtar yöneticisini (KIMP) yapılandırırken, DD ile KMIP sunucusu arasındaki güven bir güven zinciri (KMIP sertifikası bir kök CA tarafından değil, ara CA tarafından) üzerinden sağlanmışsa bu, DD CLI veya KULLANıCı Arayüzünden doğru şekilde yapılandıramaz. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CLI veya web kullanıcı arayüzü, FS şifrelemesi veya diğer kullanımları için KMIP protokolünü kullanarak harici bir anahtar yöneticisi ayarlamak için kullanılabilir.
Bu işlem sırasında DD, kmip sunucusu tarafından kendi kimliğini doğrulamak üzere kullanılan sertifika için kullanılan Sertifika Yetkilisinin (CA) köküne karşılık gelen genel sertifikayı sorar.
KMIP sertifikası CA kökü tarafından değil, bir ara CA tarafından verilmiştir. Tüm ara CA'ların genel sertifikaları, metinsel ve PEM biçimindeki DD'ye aktarılmalıdır.
Bu durumda, güven zincirinin doğru olduğu dosya olmasına rağmen DD, KMIP sunucusu SSL sertifikasına güvenmez ve günlüklerde aşağıdaki gibi hatalar görülür (ddfs.info/messages.engineering / kmip.log):
Harici anahtar yöneticisi durumu DD CLI'dan aşağıda gösterildiği gibi gösterilir (filesys encryption key-manager show):
Bu işlem sırasında DD, kmip sunucusu tarafından kendi kimliğini doğrulamak üzere kullanılan sertifika için kullanılan Sertifika Yetkilisinin (CA) köküne karşılık gelen genel sertifikayı sorar.
KMIP sertifikası CA kökü tarafından değil, bir ara CA tarafından verilmiştir. Tüm ara CA'ların genel sertifikaları, metinsel ve PEM biçimindeki DD'ye aktarılmalıdır.
Bu durumda, güven zincirinin doğru olduğu dosya olmasına rağmen DD, KMIP sunucusu SSL sertifikasına güvenmez ve günlüklerde aşağıdaki gibi hatalar görülür (ddfs.info/messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Harici anahtar yöneticisi durumu DD CLI'dan aşağıda gösterildiği gibi gösterilir (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
Mart 2023'te cli ve web kullanıcı arayüzü iş akışı, DDOS'un KMIP için birden fazla CA sertifikasının içe aktarılamalarına izin vermez. Bu, tasarım gereğidir.
KMIP sunucu sertifikası kök CA tarafından imzalanmazsa DDOS, zincirdeki tüm sertifikaları kabul etmeyi reddeder, bu nedenle DD, KMIP sunucu sertifikasının sertifikayı aktaran (ara) CA'sine güvenmeyeceği için SSL kullanarak KMIP sunucusuna güvenli bir şekilde bağlanamaz.
KMIP sunucu sertifikası kök CA tarafından imzalanmazsa DDOS, zincirdeki tüm sertifikaları kabul etmeyi reddeder, bu nedenle DD, KMIP sunucu sertifikasının sertifikayı aktaran (ara) CA'sine güvenmeyeceği için SSL kullanarak KMIP sunucusuna güvenli bir şekilde bağlanamaz.
Resolution
Geçici çözüm:
Bu yapılandırmayı normal CLI ve web kullanıcı arayüzü dışında gerçekleştirebilmek için DELL Data Domain Destek ile iletişime geçin. Bu işlem kapalı kalma süresi gerektirmez ancak KMIP sunucusu için güven zincirine sahip dosyanın sisteme manuel olarak entegre ılabilmesi için BASH düzeyinde erişime ihtiyaç vardır.
Kalıcı Çözüm:
Bu işlevin DDOS'a eklanması için bir hedef sürümü mevcut değildir. Bu nedenle harici anahtar yöneticileri için KMIP'yi yapılandırırken, imzalama CA'sı kök sertifika değilse tüm ara sertifikalar CLI'den veya web kullanıcı arayüzünden içe aktarılabilir.
Bu yapılandırmayı normal CLI ve web kullanıcı arayüzü dışında gerçekleştirebilmek için DELL Data Domain Destek ile iletişime geçin. Bu işlem kapalı kalma süresi gerektirmez ancak KMIP sunucusu için güven zincirine sahip dosyanın sisteme manuel olarak entegre ılabilmesi için BASH düzeyinde erişime ihtiyaç vardır.
Kalıcı Çözüm:
Bu işlevin DDOS'a eklanması için bir hedef sürümü mevcut değildir. Bu nedenle harici anahtar yöneticileri için KMIP'yi yapılandırırken, imzalama CA'sı kök sertifika değilse tüm ara sertifikalar CLI'den veya web kullanıcı arayüzünden içe aktarılabilir.
Affected Products
Data DomainArticle Properties
Article Number: 000211676
Article Type: Solution
Last Modified: 19 July 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.