Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000221202

Odstraňování problémů s řetězem certifikátů vyžadovaných pro migraci OpenManage Enterprise

Summary: Správci softwaru OpenManage Enterprise mohou během nahrávání certifikátu (CGEN1008 CSEC9002) a ověřování připojení narazit na několik chyb. Následující stránka obsahuje průvodce, který správcům softwaru OpenManage Enterprise pomůže v případě, že v této fázi migrace narazí na chyby. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Instructions

Proces migrace zařízení využívá vzájemný protokol TLS (mTLS). Tento typ vzájemného ověřování se používá v rámci architektury zabezpečení nulová důvěra (Zero Trust), kde ve výchozím nastavení není nic důvěryhodné.
 
V typické výměně TLS má server certifikát TLS a pár veřejného a privátního klíče. Klient ověří certifikát serveru a poté pokračuje ve výměně informací prostřednictvím šifrované relace. Pomocí mTLS klient i server ověří certifikát předtím, než si začnou vyměňovat jakákoli data.
Diagram komunikace mezi klientem a serverem mTLS 
Každé zařízení OpenManage Enterprise, které využívá certifikát podepsaný třetí stranou, musí před pokračováním v migraci nahrát řetězec certifikátů. Řetěz certifikátů je uspořádaný seznam certifikátů obsahujících certifikát SSL/TLS a certifikáty certifikační autority (CA). Řetěz začíná samostatným certifikátem a každý certifikát v řetězci je podepsán entitou identifikovanou dalším certifikátem v řetězci.
  • Certifikát = certifikát podepsaný certifikační autoritou (samostatný)
  • Řetěz certifikátů = certifikát podepsaný certifikační autoritou + certifikát zprostředkující certifikační autority (pokud existuje) + certifikát kořenové certifikační autority
Řetěz certifikátů musí splňovat následující požadavky, jinak se správci zobrazí chyby.
 

Požadavky na řetězec certifikátů pro migraci 

  1. Shody klíče žádosti o podpis certifikátu – během nahrávání certifikátu je zaškrtnutý klíč žádosti o podpis certifikátu (CSR). Software OpenManage Enterprise podporuje nahrávání pouze certifikátů, které jsou daným zařízením požadovány pomocí požadavku CSR (Certificate Signed Request). Tato ověřovací kontrola se provádí během nahrávání jednoho certifikátu serveru i řetězce certifikátů.
  2. Kódování certifikátu – soubor certifikátu vyžaduje kódování Base 64. Ujistěte se, že při ukládání exportovaného certifikátu z certifikační autority je použito kódování Base 64, jinak bude soubor certifikátu považován za neplatný.
  3. Ověřit použití rozšířeného klíče certifikátu – Zkontrolujte, zda je použití klíče povoleno pro ověřování serveru i klienta. Je to proto, že migrace je obousměrná komunikace mezi zdrojem i cílem, kde jeden z nich může během výměny informací fungovat jako server a klient. U certifikátů s jedním serverem je vyžadováno pouze ověření serveru.
  4. Certifikát je povolen pro šifrování klíčů – šablona certifikátu použitá k vygenerování certifikátu musí obsahovat šifrování klíče. Tím je zajištěno, že klíče v certifikátu lze použít k šifrování komunikace.
  5. Řetěz certifikátů s kořenovým certifikátem – certifikát obsahuje úplný řetěz , který obsahuje kořenový certifikát. To je vyžadováno pro zdroj a cíl, aby se zajistilo, že oba budou důvěryhodné. Kořenový certifikát se přidá do důvěryhodného kořenového úložiště každého zařízení. DŮLEŽITÉ: Software OpenManage Enterprise podporuje v řetězci certifikátů nejvýše 10 potenciálních certifikátů.
  6. Vystavil a vydal – kořenový certifikát se používá jako kotva důvěryhodnosti a pak se použije k ověření všech certifikátů v řetězu proti této kotvě důvěryhodnosti. Ujistěte se, že řetěz certifikátů obsahuje kořenový certifikát.
Příklad řetězu certifikátů
Vydáno pro Vydával
OMENT (spotřebič) Inter-CA1
Inter-CA1 Kořenová certifikační autorita
Kořenová certifikační autorita Kořenová certifikační autorita


Operace nahrání řetězce certifikátů

Po získání celého řetězce certifikátů musí správce OpenManage Enterprise odeslat řetězec prostřednictvím webového uživatelského rozhraní "Application Settings -> Security - Certificates".
 
Pokud certifikát nesplňuje požadavky, zobrazí se ve webovém uživatelském rozhraní jedna z následujících chyb:
  • CGEN1008 – Požadavek nelze zpracovat, protože došlo k chybě.
  • CSEC9002 – Certifikát nelze nahrát, protože zadaný soubor certifikátu je neplatný.
Následující části zvýrazňují chyby, podmíněné triggery a způsob nápravy.

CGEN1008 – Požadavek nelze zpracovat, protože došlo k chybě.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Chyba při nahrávání certifikátu CGEN1008 Požadavek nelze zpracovat, protože došlo k chybě. 
Chyba CGEN1008 se zobrazí, pokud je splněn některý z následujících chybových stavů:
  • Neplatný klíč CSR pro řetězec certifikátů
    • Zkontrolujte, zda byl certifikát vygenerován pomocí CSR z webového uživatelského rozhraní OpenManage Enterprise. Software OpenManage Enterprise nepodporuje nahrání certifikátu, který nebyl vygenerován pomocí CSR ze stejného zařízení.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Neplatný řetěz certifikátů
    • V certifikátu musí být obsaženy kořenové certifikáty a certifikáty všech zprostředkujících certifikačních autorit.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • V listovém certifikátu nebyl nalezen žádný společný název – všechny certifikáty musí obsahovat běžné názvy a nesmí obsahovat žádné zástupné znaky (*).
POZNÁMKA: Software OpenManage Enterprise nepodporuje certifikáty se zástupnými znaky (*). Při generování CSR z webového uživatelského rozhraní pomocí zástupného znaku (*) v rozlišujícím názvu dojde k následující chybě: 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Chyba nahrání certifikátu CGEN6002 Požadavek nelze dokončit, protože chybí vstupní hodnota pro DistinguishedName nebo je zadána neplatná hodnota 
  • V listovém certifikátu není k dispozici žádné rozšířené použití klíče (EKU) pro ověřování klientů a serverů
    • Aby bylo možné používat rozšířený klíč, musí certifikát obsahovat ověřování serveru i klienta.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Zkontrolujte podrobnosti certifikátu pro rozšířené použití klíče. Pokud některá z nich chybí, ujistěte se, že šablona použitá k vygenerování certifikátu je povolena pro oba.
Podrobnosti o certifikátu zobrazující rozšířené použití klíče pro ověřování serveru i klienta 
  • Chybějící šifrování klíče pro použití klíče
    • U odesílaného certifikátu musí být pro použití klíče uvedeno šifrování.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Zkontrolujte podrobnosti certifikátu pro použití klíče. Ujistěte se, že šablona použitá k vygenerování certifikátu má povolené šifrování klíče.
Podrobnosti o certifikátu zobrazující použití klíče pro šifrování klíče 
 

CSEC9002 – Certifikát nelze nahrát, protože zadaný soubor certifikátu je neplatný.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Chyba při nahrávání certifikátu CSEC9002 Nelze nahrát certifikát, protože zadaný soubor certifikátu je neplatný.
 
Chyba CSEC9002 se zobrazí, pokud je splněna některá z následujících chybových podmínek: 
  • Chybějící šifrování klíče serverového certifikátu
    • Ujistěte se, že šablona použitá k vygenerování certifikátu má povolené šifrování klíče. Při využití certifikátu k migraci se ujistěte, že je nahrán celý řetěz certifikátů, nikoli jeden certifikát serveru.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Soubor certifikátu obsahuje nesprávné kódování.
    • Ujistěte se, že soubor certifikátu byl uložen s kódováním Base 64.
    • V protokolu aplikace tomcat, který se nachází v balíčku protokolů konzole, se zobrazí následující chyba:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operace ověření připojení migrace

Po úspěšném nahrání řetězce certifikátů může proces migrace pokračovat dalším krokem – navázáním připojení mezi zdrojovou a cílovou konzolí. V tomto kroku poskytne správce nástroje OpenManage Enterprise IP adresu a přihlašovací údaje místního správce pro zdrojovou a cílovou konzoli.
 
Při ověřování připojení se kontrolují následující položky:
  • Vystavil a vydal – názvy certifikačních autorit v řetězu mezi jednotlivými zdrojovými a cílovými certifikáty mají stejné hodnoty "Vystaveno komu" a "Vydal". Pokud se tyto názvy neshodují, zdroj nebo cíl nemůže ověřit, zda certifikáty vystavily stejné podpisové autority. To je zásadní pro dodržování bezpečnostní architektury Zero-Trust.
Platný řetěz certifikátů mezi zdrojem a cílem
Zdrojový certifikát     Cílový certifikát  
Vydáno pro Vydával   Vydáno pro Vydával
OMENT-310 (Afrika) Inter-CA1 <-> OMENT-400 (cíl) Inter-CA1
Inter-CA1 Kořenová certifikační autorita <-> Inter-CA1 Kořenová certifikační autorita
Kořenová certifikační autorita Kořenová certifikační autorita <-> Kořenová certifikační autorita Kořenová certifikační autorita
 
 
Neplatný řetěz certifikátů mezi zdrojem a cílem
Zdrojový certifikát     Cílový certifikát  
Vydáno pro Vydával   Vydáno pro Vydával
OMENT-310 (Afrika) Inter-CA1 X OMENT-400 (cíl) Inter-CA2
Inter-CA1 Kořenová certifikační autorita X Inter-CA2 Kořenová certifikační autorita
Kořenová certifikační autorita Kořenová certifikační autorita <-> Kořenová certifikační autorita Kořenová certifikační autorita
 
  • Doba platnosti - zkontroluje dobu platnosti certifikátu s datem a časem spotřebiče.
  • Maximální hloubka – ověřte, že řetěz certifikátů nepřekračuje maximální hloubku 10 listových certifikátů.
Pokud certifikáty nesplňují výše uvedené požadavky, zobrazí se při pokusu o ověření připojení konzoly následující chyba: 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Chyba ověření připojení migrace – Nelze se vzájemně ověřit a připojit ke vzdálenému zařízení. 

Obejít požadavek řetězce certifikátů

Pokud přetrvávají problémy s plněním požadavků certifikačního řetězce, existuje podporovaná metoda, kterou lze použít k využití certifikátů podepsaných držitelem. Pokračujte ve využívání funkce zálohování a obnovení, jak je uvedeno v následujícím článku:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

Article Properties

Affected Product

Dell EMC OpenManage Enterprise

Last Published Date

25 Apr 2024

Version

3

Article Type

How To

Back to Top