ОМЕ: Усунення проблем із ланцюжком сертифікатів, потрібних для міграції OpenManage Enterprise

Процес міграції пристрою використовує взаємний TLS (mTLS). Цей тип взаємної автентифікації використовується в рамках системи безпеки Zero Trust, де ніщо не є надійним за замовчуванням.
 
У типовому обміні TLS сервер містить сертифікат TLS і пару відкритих і закритих ключів. Клієнт перевіряє сертифікат сервера, а потім продовжує обмінюватися інформацією через зашифрований сеанс. За допомогою mTLS як клієнт, так і сервер перевіряють сертифікат, перш ніж почати обмінюватися будь-якими даними.

Будь-який пристрій OpenManage Enterprise, який використовує підписаний стороною сертифікат, має завантажити ланцюжок сертифікатів, перш ніж продовжити операцію міграції. Ланцюжок сертифікатів – це впорядкований список сертифікатів, що містять сертифікати SSL/TLS і сертифікати центру сертифікації (CA). Ланцюжок починається з автономного сертифіката, а за ним слідують сертифікати, підписані сутністю, визначеною в наступному сертифікаті в ланцюжку.

• Сертифікат = сертифікат з підписом ЦС (автономний)
• Ланцюжок сертифікатів = підписаний сертифікат ЦС + проміжний сертифікат ЦС (за наявності) + кореневий сертифікат ЦС

Ланцюжок сертифікатів повинен відповідати наступним вимогам, інакше адміністратор зіткнеться з помилками.
 

Вимоги до ланцюжка сертифікатів для міграції 

1. Збігається ключ запиту на підпис сертифіката – під час завантаження сертифіката перевіряється ключ запиту на підписання сертифіката (CSR). OpenManage Enterprise підтримує лише вивантаження сертифікатів, які запитуються за допомогою запиту на підпис сертифіката (CSR) цим пристроєм. Ця перевірка валідації виконується під час завантаження як для окремого сервера-сертифіката, так і для ланцюжка сертифікатів.
2. Кодування сертифіката – файл сертифіката потребує кодування Base 64. Переконайтеся, що під час збереження експортованого сертифіката з центру сертифікації використовується кодування Base 64, інакше файл сертифіката вважається невірним.
3. Перевірка розширеного використання ключа сертифіката – переконайтеся, що використання ключа ввімкнено як для автентифікації сервера, так і для автентифікації клієнта. Це пов'язано з тим, що міграція є двостороннім зв'язком між джерелом і об'єктом, де будь-який з них може виступати в якості сервера і клієнта під час обміну інформацією. Для одиночних сертифікатів сервера потрібна лише аутентифікація сервера.
4. Сертифікат увімкнено для шифрування ключа - шаблон сертифіката, який використовується для створення сертифіката, повинен містити шифрування ключа. Це гарантує, що ключі в сертифікаті можуть використовуватися для шифрування зв'язку.
5. Ланцюжок сертифікатів із кореневим сертифікатом – сертифікат містить повний ланцюжок , який включає кореневий сертифікат. Це потрібно для того, щоб джерело та ціль гарантували, що обом можна довіряти. Кореневий сертифікат додається до довіреного кореневого сховища кожного пристрою. ВАЖЛИВИЙ: OpenManage Enterprise підтримує щонайбільше 10 листових сертифікатів у ланцюжку сертифікатів.
6. Виданий і виданий - кореневий сертифікат використовується як якір довіри, а потім використовується для перевірки всіх сертифікатів у ланцюжку на відповідність цьому якорю довіри. Переконайтеся, що ланцюжок сертифікатів містить кореневий сертифікат.

Операція завантаження ланцюжка сертифікатів

Після отримання повного ланцюжка сертифікатів адміністратор OpenManage Enterprise повинен завантажити ланцюжок через веб-інтерфейс - "Безпека > налаштувань програми - Сертифікати".
 
Якщо сертифікат не відповідає вимогам, у веб-інтерфейсі відображається одна з таких помилок:

• CGEN1008 - Unable to process the request because an error occurred
• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

У наступних розділах висвітлено помилки, умовні тригери та способи їх усунення.

• CGEN1008 - Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

Об'єкт CGEN1008 Помилка відображається, якщо виконується будь-яка з наступних умов помилки:

• Невірний CSR-ключ для ланцюжка сертифікатів
  • Переконайтеся, що сертифікат було згенеровано за допомогою CSR із веб-інтерфейсу OpenManage Enterprise. OpenManage Enterprise не підтримує завантаження сертифіката, який не було створено за допомогою CSR з того самого пристрою.
  • У журналі додатків tomcat, розташованому в зв'язці консольного журналу, видно наступну помилку:

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Невірний ланцюжок сертифікатів
  • Корінь і всі сертифікати проміжних центрів сертифікації повинні бути включені в сертифікат.
  • У журналі додатків tomcat, розташованому в зв'язці консольного журналу, видно наступну помилку:

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• У листовому сертифікаті не знайдено загальної назви - Усі сертифікати повинні містити загальні назви та не містити жодних символів узагальнення (*).

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• Розширене використання ключа (EKU) аутентифікації клієнта та сервера (EKU) відсутнє в листовому сертифікаті
  • Сертифікат повинен включати автентифікацію сервера та клієнта для розширеного використання ключа.
  • У журналі додатків tomcat, розташованому в зв'язці консольного журналу, видно наступну помилку:

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Перегляньте відомості про сертифікат для розширеного використання ключа. Якщо жоден із них не вказаний, переконайтеся, що шаблон, який використовується для створення сертифіката, увімкнено для обох.

 

• Відсутнє шифрування ключів для використання ключа
  • Сертифікат, що завантажується, повинен мати шифрування ключа, вказане для використання ключа.
  • У журналі додатків tomcat, розташованому в зв'язці консольного журналу, видно наступну помилку:

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Перегляньте деталі сертифіката щодо використання ключа. Переконайтеся, що в шаблоні, який використовується для створення сертифіката, увімкнено шифрування ключів.

 
 

• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

  CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
  Make sure the CA certificate and private key are correct and retry the operation.

  

 Об'єкт CSEC9002 Помилка відображається, якщо виконується будь-яка з наступних умов помилки: 

• Шифрування ключа в сертифікаті сервера відсутній
  • Переконайтеся, що в шаблоні, який використовується для створення сертифіката, увімкнено шифрування ключів. Використовуючи сертифікат для міграції, переконайтеся, що завантажено весь ланцюжок сертифікатів, а не один сервер-сертифікат.
  • У журналі додатків tomcat, розташованому в зв'язці консольного журналу, видно наступну помилку:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• Файл сертифіката містить неправильне кодування
  • Переконайтеся, що файл сертифіката було збережено з використанням кодування Base 64.
  • У журналі додатків tomcat, розташованому в зв'язці консольного журналу, видно наступну помилку:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Операція перевірки міграційного з'єднання

Після успішного завантаження ланцюжка сертифікатів процес міграції може перейти до наступного кроку - встановлення з'єднання між вихідною та цільовою консолями. На цьому етапі адміністратор OpenManage Enterprise надає IP-адресу та облікові дані локального адміністратора для вихідної та цільової консолей.
 
Під час перевірки з'єднання перевіряються такі пункти:

• Видано та видано - Назви центрів сертифікації в ланцюжку між кожним сертифікатами джерела та призначення мають однакові «видано до» та «видано до». Якщо ці імена не збігаються, джерело або ціль не зможуть перевірити, що сертифікати видали ті самі центри підписування. Це має вирішальне значення для дотримання системи безпеки Zero-Trust.

• Термін дії - звіряється термін дії сертифіката з датою і часом роботи приладу.
• Максимальна глибина - переконайтеся, що ланцюг сертифікатів не перевищує максимальну глибину 10 листових сертифікатів.

Якщо сертифікати не відповідають вищезазначеним вимогам, при спробі перевірки консольних з'єднань спостерігається така помилка:

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

Обхід вимог до ланцюжка сертифікатів