OME: Solução de problemas de cadeia de certificados durante a migração do OpenManage Enterprise

O processo de migração do equipamento aproveita o TLS mútuo (mTLS). Esse tipo de autenticação mútua é usado em uma estrutura de segurança Zero Trust, em que nada é confiável por padrão.
 
Em uma troca de TLS típica, o servidor mantém o certificado TLS e o par de chaves pública e privada. O client verifica o certificado do servidor e, em seguida, prossegue com a troca de informações em uma sessão criptografada. Com o mTLS, tanto o client quanto o servidor verificam o certificado antes de começarem a trocar quaisquer dados.

Qualquer equipamento OpenManage Enterprise que aproveite um certificado assinado de terceiros precisa carregar a cadeia de certificados antes de prosseguir com uma operação de migração. Uma cadeia de certificados é uma lista ordenada de certificados que contém um certificado SSL/TLS e os certificados de Autoridade de Certificação (CA). A cadeia começa com o certificado independente e, em seguida, pelos certificados assinados pela entidade identificada no próximo certificado da cadeia.

• Certificado = certificado assinado pela CA (independente)
• Cadeia de certificados = Certificado assinado pela CA + Certificado de CA intermediária (se houver) + Certificado de CA raiz

A cadeia de certificados precisa atender aos seguintes requisitos, caso contrário, o administrador apresentará erros.
 

Requisitos da cadeia de certificados para migração 

1. Correspondência de chaves de solicitação de assinatura de certificado – Durante o carregamento do certificado, a chave de Solicitação de Assinatura de Certificado (CSR) é verificada. O OpenManage Enterprise só é compatível com o upload de certificados solicitados por meio da solicitação assinada por certificado (CSR) por esse equipamento. Essa verificação de validação é realizada durante o carregamento de um certificado de servidor único e de uma cadeia de certificados.
2. Codificação de certificado – O arquivo de certificado requer a codificação Base 64. Verifique se, ao salvar o certificado exportado da autoridade de certificação, a codificação Base 64 foi usada. Caso contrário, o arquivo de certificado será considerado inválido.
3. Validação do uso da chave aprimorada do certificado – Faça a verificação para garantir que o uso da chave está habilitado para a autenticação de servidor e a autenticação de client. Isso deve ser feito porque a migração é uma comunicação bidirecional entre a origem e o destino, em que qualquer um pode atuar como servidor e client durante a troca de informações. Para certificados de servidor único, somente a autenticação de servidor é necessária.
4. Habilitação do certificado para codificação de chaves – O modelo de certificado usado para gerar o certificado precisa incluir a codificação de chaves. Isso garante que as chaves no certificado possam ser usadas para criptografar a comunicação.
5. Cadeia de certificados com certificado raiz - O certificado contém a cadeia completa que inclui o certificado raiz. Isso é necessário para que a origem e o destino sejam confiáveis. O certificado raiz é adicionado ao armazenamento raiz confiável de cada equipamento. IMPORTANTE: O OpenManage Enterprise oferece suporte a, no máximo, 10 certificados leaf dentro da cadeia de certificados.
6. Campos Issued to e Issued by – O certificado raiz é usado como âncora de confiança e, em seguida, é usado para validar todos os certificados da cadeia em relação a essa âncora de confiança. Certifique-se de que a cadeia de certificados inclua o certificado raiz.

Operação de carregamento da cadeia de certificados

Depois que toda a cadeia de certificados for adquirida, o administrador do OpenManage Enterprise deverá fazer upload da cadeia por meio da interface do usuário da Web - "Application Settings > Security - Certificates".
 
Se o certificado não atender aos requisitos, um dos seguintes erros será exibido na IU da Web:

• CGEN1008 - Unable to process the request because an error occurred
• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

As seções a seguir destacam os erros, os gatilhos condicionais e a correção.

• CGEN1008 - Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

A coluna CGEN1008 error será exibido se qualquer uma das seguintes condições de erro for atendida:

• Chave CSR inválida para a cadeia de certificados
  • Verifique se o certificado foi gerado usando a CSR a partir da IU da Web do OpenManage Enterprise. O OpenManage Enterprise é compatível somente com o carregamento de um certificado gerado usando a CSR a partir do mesmo equipamento.
  • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Cadeia de certificados inválida
  • Todos os certificados de autoridades de certificação intermediárias e raiz devem ser incluídos no certificado.
  • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Nenhum nome comum encontrado no certificado leaf – Todos os certificados devem incluir os nomes comuns e não conter caracteres curinga (*).

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• Não há Extended Key Usage (EKU) de autenticação de client e servidor presente no certificado leaf
  • O certificado deve incluir autenticação de servidor e client em Extended Key Usage.
  • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Analise nos detalhes do certificado o campo Extended Key Usage. Se alguma das certificações estiver ausente, verifique se o modelo usado para gerar o certificado esteja habilitado nas duas opções.

 

• Codificação de chave ausente em Key Usage
  • O certificado que está sendo carregado precisa ter a codificação da chaves listada em Key Usage.
  • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Analise nos detalhes do certificado o campo Key Usage. Verifique se o modelo usado para gerar o certificado está com a codificação de chaves ativada.

 
 

• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

  CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
  Make sure the CA certificate and private key are correct and retry the operation.

  

 A coluna CSEC9002 error será exibido se qualquer uma das seguintes condições de erro for atendida: 

• Codificação de chaves do certificado do servidor ausente
  • Verifique se o modelo usado para gerar o certificado está com a codificação de chaves ativada. Ao aproveitar um certificado para migração, verifique se a cadeia de certificados completa está carregada, e não o certificado de servidor único.
  • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• O arquivo de certificado contém codificação incorreta
  • Verifique se o arquivo de certificado foi salvo usando a codificação Base 64.
  • O seguinte erro é observado no log do aplicativo Tomcat, localizado no pacote de logs do console:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operação de verificação da conexão de migração

Depois de carregar a cadeia de certificados com sucesso, o processo de migração pode prosseguir para a próxima etapa: estabelecer conexão entre os consoles de origem e destino. Nessa etapa, o administrador do OpenManage Enterprise fornece o endereço IP e as credenciais de administrador local para os consoles de origem e destino.
 
Os itens a seguir são verificados ao validar a conexão:

• Issued to e Issued by – Os nomes das autoridades de certificação na cadeia entre cada um dos certificados de origem e de destino devem ter os mesmos dados nos campos "Issued to" e "Issued by". Se esses nomes não corresponderem, a origem ou o destino não poderá verificar se as mesmas autoridades de assinatura emitiram os certificados. Isso é crucial para aderir à estrutura de segurança Zero Trust.

• Validity period – O período de validade do certificado deve ser checado com a data e a hora do equipamento.
• Maximum depth – A cadeia de certificados não deve excede a profundidade máxima de 10 certificados leaf.

Se os certificados não atenderem aos requisitos acima, o erro a seguir será exibido ao tentar validar as conexões do console:

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

Ignorar o requisito de cadeia de certificados