Домен даних: Налаштування менеджера зовнішніх ключів (KMIP) не вдається, коли існує ланцюжок довіри до сертифіката сервера KMIP
Summary: При налаштуванні менеджера зовнішніх ключів (KIMP), якщо довіра між DD і сервером KMIP здійснюється через ланцюжок довіри (сертифікат KMIP видається не кореневим ЦС, а проміжним ЦС), це не може бути належним чином налаштовано ні з DD CLI, ні з інтерфейсу користувача. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CLI або веб-інтерфейс можуть використовуватися для налаштування зовнішнього менеджера ключів за допомогою протоколу KMIP, для шифрування FS або інших цілей.
У якийсь момент процесу DD запитує публічний сертифікат, що відповідає кореню центру сертифікації (CA), який використовується для підпису сертифіката, який використовується сервером KMIP для автентифікації.
Якби сертифікат KMIP був виданий не коренем CA, а проміжним CA, всі публічні сертифікати проміжних CA повинні бути передані DD, об'єднані в текстову форму PEM.
У цьому випадку, незважаючи на те, що файл з ланцюжком довіри правильний, DD не довірятиме сертифікату SSL сервера KMIP, і такі помилки, як показано нижче, будуть помічені в журналах (ddfs.info / messages.engineering / kmip.log):
Зі статусом менеджера зовнішніх ключів, показаним, як показано нижче, з командного рядка DD (файловий менеджер ключів шифрування fileys показує):
У якийсь момент процесу DD запитує публічний сертифікат, що відповідає кореню центру сертифікації (CA), який використовується для підпису сертифіката, який використовується сервером KMIP для автентифікації.
Якби сертифікат KMIP був виданий не коренем CA, а проміжним CA, всі публічні сертифікати проміжних CA повинні бути передані DD, об'єднані в текстову форму PEM.
У цьому випадку, незважаючи на те, що файл з ланцюжком довіри правильний, DD не довірятиме сертифікату SSL сервера KMIP, і такі помилки, як показано нижче, будуть помічені в журналах (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Зі статусом менеджера зовнішніх ключів, показаним, як показано нижче, з командного рядка DD (файловий менеджер ключів шифрування fileys показує):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
Станом на березень 2023 року робочий процес CLI та веб-інтерфейсу такий, що DDOS не дозволяє імпортувати кілька сертифікатів CA для довіри KMIP. Це за задумом.
Коли сертифікат сервера KMIP не підписаний кореневим ЦС, DDOS відмовляється приймати всі сертифікати в ланцюжку, отже, DD не може безпечно підключитися до сервера KMIP за допомогою SSL, оскільки він не довірятиме емітенту сертифіката сервера KMIP (проміжний) ЦС.
Коли сертифікат сервера KMIP не підписаний кореневим ЦС, DDOS відмовляється приймати всі сертифікати в ланцюжку, отже, DD не може безпечно підключитися до сервера KMIP за допомогою SSL, оскільки він не довірятиме емітенту сертифіката сервера KMIP (проміжний) ЦС.
Resolution
Спосіб вирішення:
Зверніться до служби підтримки домену даних DELL, щоб отримати допомогу у виконанні цієї конфігурації поза звичайним командним рядком та веб-інтерфейсом. Це не вимагатиме простоїв, але потребує доступу на рівні BASH, щоб файл з ланцюжком довіри для сервера KMIP міг бути побудований вручну в системі.
Постійне рішення:
Не існує цільового випуску для додавання цієї функціональності до DDOS, так що при налаштуванні KMIP для зовнішніх менеджерів ключів, якщо підпис ЦС не є кореневим, всі проміжні сертифікати можуть бути імпортовані з командного рядка або веб-інтерфейсу.
Зверніться до служби підтримки домену даних DELL, щоб отримати допомогу у виконанні цієї конфігурації поза звичайним командним рядком та веб-інтерфейсом. Це не вимагатиме простоїв, але потребує доступу на рівні BASH, щоб файл з ланцюжком довіри для сервера KMIP міг бути побудований вручну в системі.
Постійне рішення:
Не існує цільового випуску для додавання цієї функціональності до DDOS, так що при налаштуванні KMIP для зовнішніх менеджерів ключів, якщо підпис ЦС не є кореневим, всі проміжні сертифікати можуть бути імпортовані з командного рядка або веб-інтерфейсу.
Affected Products
Data DomainArticle Properties
Article Number: 000211676
Article Type: Solution
Last Modified: 19 July 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.