ОМЭ: Поиск и устранение неисправностей, связанных с цепочкой сертификатов, необходимых для миграции OpenManage Enterprise

Процесс миграции устройства использует взаимное TLS (mTLS). Этот тип взаимной проверки подлинности используется в рамках концепции безопасности на основе нулевого доверия, когда по умолчанию нет никаких доверенных компонентов.
 
При обычном обмене TLS сервер содержит сертификат TLS, а также пару общедоступных и закрытых ключей. Клиент проверит сертификат сервера и затем приступит к обмену информацией через зашифрованный сеанс. При использовании mTLS клиент и сервер проверяют сертификат перед началом обмена данными.

Перед осуществлением операции миграции любое устройство OpenManage Enterprise, использующее сторонний подписанный сертификат, должно загрузить цепочку сертификатов. Цепочка сертификатов — это упорядоченный список сертификатов, содержащий сертификат SSL/TLS и сертификаты источника сертификатов (CA). Цепочка начинается с автономного сертификата, за которым следуют сертификаты, подписанные сущностью, указанной в следующем сертификате в цепочке.

• Сертификат = сертификат, подписанный ИС (автономный)
• Цепочка сертификатов = сертификат, подписанный CA + сертификат промежуточного CA (при наличии) + сертификат корневого CA

Цепочка сертификатов должна соответствовать следующим требованиям, в противном случае администратор получит ошибки.
 

Требования к цепочке сертификатов для миграции 

1. Ключ запроса на заверение сертификата совпадает — во время загрузки сертификата проверяется ключ запроса на заверение сертификата (CSR). OpenManage Enterprise поддерживает загрузку только тех сертификатов, которые запрашиваются с помощью запроса с подписью сертификата (CSR) этим устройством. Данная проверка достоверности выполняется во время загрузки как для единого сертификата сервера, так и для цепочки сертификатов.
2. Кодировка сертификата — для файла сертификата требуется кодировка Base 64. Удостоверьтесь в том, что при сохранении сертификата, экспортированного из источника сертификатов, использовалась кодировка Base 64, в противном случае файл сертификата признается недействительным.
3. Проверьте достоверность использования расширенного ключа сертификата — убедитесь, что использование ключа включено как для проверки подлинности сервера, так и для проверки подлинности клиента. Это связано с тем, что миграция представляет собой двусторонний обмен данными между исходным и целевым устройством, при котором любое из них может выступать в качестве сервера и клиента в процессе обмена информацией. Для сертификата одиночного сервера требуется только проверка подлинности сервера.
4. Сертификат включен для шифрования ключа — в шаблон сертификата, используемый для создания сертификата, необходимо включить шифрование ключа. Это гарантирует, что ключи в сертификате могут использоваться для шифрования обмена данными.
5. Цепочка сертификатов с корневым сертификатом — сертификат содержит полную цепочку , включающую корневой сертификат. Это необходимо, чтобы обеспечить надежность исходного и целевого устройства. Корневой сертификат добавляется в доверенное корневое хранилище каждого устройства. ВАЖНО! OpenManage Enterprise поддерживает не более 10 сертификатов leaf в цепочке сертификатов.
6. Выдан кому и кем — корневой сертификат используется в качестве якоря доверия, а затем применяется для проверки достоверности всех сертификатов в цепочке относительно этого якоря доверия. Убедитесь, что цепочка сертификатов включает корневой сертификат.

Операция загрузки цепочки сертификатов

После получения полной цепочки сертификатов администратор OpenManage Enterprise должен загрузить цепочку через веб-интерфейс «Настройки > приложения — Безопасность — Сертификаты».
 
Если сертификат не соответствует требованиям, в веб-интерфейсе отображается одна из следующих ошибок:

• CGEN1008 - Unable to process the request because an error occurred
• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

В следующих разделах описаны ошибки, условные триггеры и способы их устранения.

• CGEN1008 - Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

Переменная CGEN1008 Ошибка отображается, если выполнено любое из следующих условий ошибки:

• Недопустимый ключ CSR для цепочки сертификатов
  • Убедитесь в том, что сертификат был создан при помощи запроса на выпуск сертификата (CSR) через веб-интерфейс OpenManage Enterprise. OpenManage Enterprise не поддерживает загрузку сертификата, созданного с помощью CSR того же устройства.
  • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Недопустимая цепочка сертификатов
  • Сертификаты корневого и промежуточного центра сертификации должны быть включены в сертификат.
  • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• В сертификате leaf не найдено общее имя - Все сертификаты должны содержать общие имена без поддержки поддоменов (*).

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• В сертификате leaf отсутствует расширенное использование ключа проверки подлинности клиента и сервера (EKU)
  • Сертификат должен включать проверку подлинности сервера и клиента для расширенного использования ключа.
  • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Просмотрите подробные сведения о сертификате, чтобы узнать об использовании расширенного ключа. Если какой-либо из них отсутствует, удостоверьтесь в том, что шаблон, используемый для создания сертификата, включен для них обоих.

 

• Отсутствует шифрование ключа для его использования
  • У загружаемого сертификата должно быть указано шифрование ключа для его использования.
  • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Просмотрите подробные сведения о сертификате, чтобы узнать об использовании ключа. Убедитесь, что в шаблоне, используемом для создания сертификата, включена функция шифрования ключа.

 
 

• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

  CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
  Make sure the CA certificate and private key are correct and retry the operation.

  

 Переменная CSEC9002 Ошибка отображается, если выполнено любое из следующих условий ошибки: 

• В сертификате сервера отсутствует шифрование ключа
  • Убедитесь, что в шаблоне, используемом для создания сертификата, включена функция шифрования ключа. При использовании сертификата для миграции убедитесь, что загружена полная цепочка сертификатов, а не сертификат одиночного сервера.
  • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• Файл сертификата содержит неверную кодировку
  • Убедитесь, что файл сертификата сохранен с помощью кодировки Base 64.
  • В журнале приложения tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Операция проверки подключения для миграции

После успешной загрузки цепочки сертификатов можно перейти к следующему шагу процедуры миграции — установке соединения между исходной и целевой консолями. На этом этапе администратор OpenManage Enterprise предоставляет IP-адрес и учетные данные локального администратора для исходной и целевой консолей.
 
При проверке подключения проверяются следующие элементы:

• Выдан кому и кем — Имена центров сертификации в цепочке между каждым исходным и целевым сертификатами имеют одинаковые значения «issued to» и «issued by». Если эти имена не совпадают, исходные или целевые объекты не смогут проверить подлинность того, что сертификаты выданы одним и тем же источником сертификатов. Это критически важно для соблюдения концепции безопасности на основе нулевого доверия.

• Срок действия — проверка срока действия сертификата с указанием даты и времени устройства.
• Максимальная глубина — удостоверьтесь в том, что длина цепочки сертификатов не превышает максимальную глубину 10 сертификатов leaf.

Если сертификаты не соответствуют указанным выше требованиям, при попытке проверить подключения консоли отображается следующая ошибка:

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

Обход требований к цепочке сертификатов