OME: OpenManage Enterprise Geçişi için Gerekli Sertifika Zinciri Sorunlarını Giderme

Cihaz geçiş işlemi karşılıklı TLS'den (mTLS) faydalanır. Bu tür karşılıklı kimlik doğrulama, varsayılan olarak hiçbir şeye güvenilmeyen bir Sıfır Güven güvenlik çerçevesi içinde kullanılır.
 
Tipik bir TLS değişiminde, sunucu TLS sertifikasını ve genel ve özel anahtar çiftini tutar. İstemci sunucu sertifikasını doğrular ve ardından şifreli bir oturum üzerinden bilgi alışverişine devam eder. mTLS ile hem istemci hem de sunucu herhangi bir veri alışverişine başlamadan önce sertifikayı doğrular.

Üçüncü taraf imzalı bir sertifikadan yararlanan tüm OpenManage Enterprise cihazlarının, bir geçiş işlemine devam etmeden önce sertifika zincirini yüklemesi gerekir. Sertifika zinciri, bir SSL/TLS Sertifikası ve Sertifika Yetkilisi (CA) Sertifikaları içeren sıralı bir sertifika listesidir. Zincir, tek başına sertifikayla başlar ve zincirdeki bir sonraki sertifikada tanımlanan varlık tarafından imzalanan sertifikalarla devam eder.

• Sertifika = CA imzalı sertifika (bağımsız)
• Sertifika Zinciri = CA imzalı sertifika + ara CA sertifikası (varsa) + kök CA sertifikası

Sertifika zincirinin aşağıdaki gereksinimleri karşılaması gerekir. Aksi takdirde yönetici hatalarla karşılaşır.
 

Geçiş için Sertifika Zinciri Gereksinimleri 

1. Sertifika İmzalama İsteği anahtar eşleşmeleri: Sertifika yükleme sırasında Sertifika İmzalama İsteği (CSR) anahtarı kontrol edilir. OpenManage Enterprise yalnızca söz konusu cihaz tarafından Sertifikayla İmzalanan İstek (CSR) kullanılarak istenen sertifikaların yüklenmesini destekler. Bu doğrulama kontrolü, hem tek bir sunucu sertifikası hem de sertifika zinciri için yükleme sırasında gerçekleştirilir.
2. Sertifika kodlaması: Sertifika dosyası için Base 64 kodlaması gerekir. Dışa aktarılan sertifikayı sertifika yetkilisinden kaydederken Base 64 kodlamasının kullanıldığından emin olun, aksi takdirde sertifika dosyası geçersiz sayılır.
3. Sertifika geliştirilmiş anahtar kullanımını doğrulama: Anahtar kullanımının hem Sunucu Kimlik Doğrulaması hem de İstemci Kimlik Doğrulaması için etkinleştirildiğinden emin olun. Bunun nedeni, geçişin hem kaynak hem de hedef arasında iki yönlü bir iletişim olması ve bilgi alışverişi sırasında her ikisinin de sunucu ve istemci olarak hareket edebilmesidir. Tek sunucu sertifikaları için yalnızca sunucu kimlik doğrulaması gereklidir.
4. Sertifika, anahtar şifreleme için etkinleştirildi: Sertifikayı oluşturmak için kullanılan sertifika şablonu anahtar şifrelemeyi içermelidir. Bu, sertifikadaki anahtarların iletişimi şifrelemek için kullanılabilmesini sağlar.
5. Kök sertifikalı Sertifika Zinciri - Sertifika, kök sertifikayı içeren tam zinciri içerir. Kaynak ve hedefte her ikisine de güvenilebilmesini sağlamak için bu gereklidir. Kök sertifika, her cihazın güvenilir kök depolamasına eklenir. ÖNEMLİ: OpenManage Enterprise, sertifika zinciri içinde en fazla 10 yaprak sertifikayı destekler.
6. Alıcı ve düzenleyen: Kök sertifika güven dayanağı olarak kullanılır ve daha sonra zincirdeki tüm sertifikaları bu güven dayanağına göre doğrulamak için kullanılır. Sertifika zincirinin kök sertifikayı içerdiğinden emin olun.

Sertifika Zinciri Yükleme İşlemi

Tam sertifika zinciri alındıktan sonra, OpenManage Enterprise yöneticisinin zinciri web kullanıcı arayüzü - "Uygulama Ayarları > Güvenliği - Sertifikalar" aracılığıyla yüklemesi gerekir.
 
Sertifika gereksinimleri karşılamıyorsa web kullanıcı arayüzünde aşağıdaki hatalardan biri gösterilir:

• CGEN1008 - Unable to process the request because an error occurred
• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

Aşağıdaki bölümlerde hatalar, koşullu tetikleyiciler ve bunların nasıl düzeltileceği vurgulanmaktadır.

• CGEN1008 - Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

Komutta CGEN1008 Aşağıdaki hata koşullarından herhangi biri karşılanırsa hata görüntülenir:

• Sertifika zinciri için geçersiz CSR anahtarı
  • Sertifikanın, OpenManage Enterprise web kullanıcı arayüzündeki CSR kullanılarak oluşturulduğundan emin olun. OpenManage Enterprise, CSR kullanılarak oluşturulmamış bir sertifikanın aynı cihazdan yüklenmesini desteklemez.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Geçersiz sertifika zinciri
  • Kök ve tüm ara sertifika yetkililerinin sertifikaları sertifikaya dahil edilmelidir.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Yaprak sertifikada Ortak Ad bulunamadı: Tüm sertifikalar ortak adları içermeli ve herhangi bir joker karakter (*) içermemelidir.

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• Yaprak sertifikada İstemci ve Sunucu Kimlik Doğrulama Genişletilmiş Anahtar Kullanımı (EKU) yok
  • Genişletilmiş anahtar kullanımı için sertifika hem Sunucu hem de İstemci kimlik doğrulamasını içermelidir.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Gelişmiş anahtar kullanımı için sertifika ayrıntılarını inceleyin. İkisi de eksikse sertifikayı oluşturmak için kullanılan şablonun ikisi için de etkinleştirildiğinden emin olun.

 

• Anahtar kullanımı için eksik anahtar şifrelemesi
  • Yüklenen sertifika, anahtar kullanımı için listelenen anahtar şifrelemesine sahip olmalıdır.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Anahtar kullanımı için sertifika ayrıntılarını inceleyin. Sertifikayı oluşturmak için kullanılan şablonda anahtar şifrelemenin etkin olduğundan emin olun.

 
 

• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

  CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
  Make sure the CA certificate and private key are correct and retry the operation.

  

 Komutta CSEC9002 Aşağıdaki hata koşullarından herhangi biri karşılanırsa hata görüntülenir: 

• Sunucu sertifikası eksik anahtar şifrelemesi
  • Sertifikayı oluşturmak için kullanılan şablonda anahtar şifrelemenin etkin olduğundan emin olun. Geçiş için bir sertifikadan yararlanırken tek bir sunucu sertifikası yerine tam sertifika zincirinin yüklendiğinden emin olun.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• Sertifika dosyası yanlış kodlama içeriyor
  • Sertifika dosyasının Base 64 kodlaması kullanılarak kaydedildiğinden emin olun.
  • Konsol günlüğü demetinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görüntülenir:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Geçiş Bağlantısı Doğrulama İşlemi

Sertifika zincirini başarıyla yükledikten sonra, geçiş sürecine bir sonraki adımla devam edilebilir, bu adım kaynak ve hedef konsollar arasında bağlantı kurmaktır. Bu adımda OpenManage Enterprise yöneticisi, kaynak ve hedef konsollar için IP adresini ve yerel yönetici kimlik bilgilerini sağlar.
 
Bağlantı doğrulanırken aşağıdaki öğeler kontrol edilir:

• Alıcı ve düzenleyen: Kaynak ve hedef sertifikalar arasındaki zincirde yer alan sertifika yetkilileri aynı "alıcı" ve "düzenleyen" adlarına sahiptir. Bu adlar eşleşmezse kaynak veya hedef, sertifikaların aynı imza yetkilileri tarafından verildiğini doğrulayamaz. Bu, Sıfır Güven güvenlik çerçevesine bağlı kalmak için çok önemlidir.

• Geçerlilik süresi: Sertifika geçerlilik süresini cihazın tarih ve saatiyle birlikte kontrol eder.
• Maksimum derinlik: Sertifika zincirinin maksimum 10 yaprak sertifika derinliğini aşmadığını doğrular.

Sertifikalar yukarıdaki gereksinimleri karşılamıyorsa konsol bağlantılarını doğrulamaya çalışırken aşağıdaki hata görüntülenir:

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

Sertifika Zinciri Gerekliliğini Atlama