OpenManage Enterprise Geçişi için gereken sertifika zinciri sorunlarını giderme

• Sertifika = CA imzalı sertifika (bağımsız)
• Sertifika Zinciri = CA imzalı sertifika + ara CA sertifikası (varsa) + kök CA sertifikası

Geçiş için Sertifika Zinciri Gereksinimleri 

1. Sertifika İmzalama İsteği anahtar eşleşmeleri: Sertifika yükleme sırasında Sertifika İmzalama İsteği (CSR) anahtarı işaretlenir. OpenManage Enterprise yalnızca söz konusu cihaz tarafından Sertifika İmzalı İsteği (CSR) kullanılarak istenen sertifikaların yüklenmesini destekler. Bu doğrulama denetimi, hem tek bir sunucu sertifikası hem de sertifika zinciri için bir yükleme sırasında gerçekleştirilir.
2. Sertifika kodlaması - Sertifika dosyası Base 64 kodlaması gerektirir. Sertifika yetkilisinden dışa aktarılan sertifikayı kaydederken Base 64 kodlamasının kullanıldığından emin olun, aksi takdirde sertifika dosyası geçersiz sayılır.
3. Sertifika gelişmiş anahtar kullanımını doğrulayın - Anahtar kullanımının hem Sunucu Kimlik Doğrulaması hem de İstemci Kimlik Doğrulaması için etkinleştirildiğinden emin olmak için kontrol edin. Bunun nedeni, geçişin hem kaynak hem de hedef arasında iki yönlü bir iletişim olması ve her ikisinin de bilgi alışverişi sırasında sunucu ve istemci olarak hareket edebilmesidir. Tek sunucu sertifikaları için yalnızca sunucu kimlik doğrulaması gereklidir.
4. Sertifika, anahtar şifreleme için etkinleştirildi - Sertifikayı oluşturmak için kullanılan sertifika şablonu, anahtar şifrelemesi içermelidir. Bu, sertifikadaki anahtarların iletişimi şifrelemek için kullanılabilmesini sağlar.
5. Kök sertifikalı Sertifika Zinciri - Sertifika, kök sertifikayı içeren tam zinciri içerir. Bu, kaynak ve hedefin her ikisine de güvenildiğinden emin olmak için gereklidir. Kök sertifika, her cihazın güvenilir kök deposuna eklenir. ÖNEMLİ: OpenManage Enterprise, sertifika zincirinde en fazla 10 aday müşteri sertifikasını destekler.
6. Tarafından verilen ve verilen - Kök sertifika, güven çıpası olarak kullanılır ve ardından zincirdeki tüm sertifikaları bu güven çıpasına göre doğrulamak için kullanılır. Sertifika zincirinin kök sertifikayı içerdiğinden emin olun.

Sertifika Zinciri Yükleme İşlemi

• CGEN1008 - Bir hata oluştuğu için istek işlenemiyor
• CSEC9002 - Sağlanan sertifika dosyası geçersiz olduğundan sertifika karşıya yüklenemedi.

CGEN1008 - Bir hata oluştuğu için istek işlenemiyor.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

• Sertifika zinciri için geçersiz CSR anahtarı
  • Sertifikanın, OpenManage Enterprise web kullanıcı arayüzündeki CSR kullanılarak oluşturulduğundan emin olun. OpenManage Enterprise, CSR kullanılarak oluşturulmamış bir sertifikanın aynı cihazdan yüklenmesini desteklemez.
  • Konsol günlüğü paketinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görülür:

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Geçersiz sertifika zinciri
  • Kök ve tüm ara sertifika yetkililerinin sertifikaları sertifikaya dahil edilmelidir.
  • Konsol günlüğü paketinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görülür:

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Yaprak sertifikada Ortak Ad bulunamadı - Tüm sertifikalar ortak adları içermeli ve joker karakter (*) içermemelidir.

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• Yaprak sertifikada İstemci ve Sunucu Kimlik Doğrulaması Genişletilmiş Anahtar Kullanımı (EKU) yok
  • Genişletilmiş anahtar kullanımı için sertifikanın hem Sunucu hem de İstemci kimlik doğrulamasını içermesi gerekir.
  • Konsol günlüğü paketinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görülür:

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Gelişmiş anahtar kullanımı için sertifika ayrıntılarını gözden geçirin. Bunlardan biri eksikse sertifikayı oluşturmak için kullanılan şablonun her ikisi için de etkinleştirildiğinden emin olun.

 

• Anahtar kullanımı için eksik anahtar şifrelemesi
  • Karşıya yüklenen sertifikada, anahtar kullanımı için listelenen anahtar şifrelemesi olmalıdır.
  • Konsol günlüğü paketinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görülür:

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Anahtar kullanımı için sertifika ayrıntılarını gözden geçirin. Sertifikayı oluşturmak için kullanılan şablonda anahtar şifrelemesinin etkinleştirildiğinden emin olun.

 
 

CSEC9002 - Sağlanan sertifika dosyası geçersiz olduğundan sertifika karşıya yüklenemedi.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.

• Sunucu sertifikası eksik anahtar şifrelemesi
  • Sertifikayı oluşturmak için kullanılan şablonda anahtar şifrelemesinin etkinleştirildiğinden emin olun. Geçiş için bir sertifikadan yararlanırken tek sunucu sertifikası yerine tam sertifika zincirinin yüklendiğinden emin olun.
  • Konsol günlüğü paketinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görülür:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• Sertifika dosyası yanlış kodlama içeriyor
  • Sertifika dosyasının Base 64 kodlaması kullanılarak kaydedildiğinden emin olun.
  • Konsol günlüğü paketinde bulunan tomcat uygulama günlüğünde aşağıdaki hata görülür:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Geçiş Bağlantısı Doğrulama İşlemi

• Düzenleyen ve düzenleyen kişi: Kaynak ve hedef sertifikalar arasındaki zincirde yer alan sertifika yetkililerinin adlarında "verilen" ve "veren" ifadeleri aynıdır. Bu adlar eşleşmezse kaynak veya hedef, sertifikaları aynı imzalama yetkililerinin verdiğini doğrulayamaz. Bu, Sıfır Güven güvenlik çerçevesine bağlı kalmak için çok önemlidir.

• Geçerlilik süresi - sertifika geçerlilik süresini cihazın tarih ve saatiyle birlikte kontrol eder.
• Maksimum derinlik: Sertifika zincirinin maksimum 10 yapraklı sertifika derinliğini aşmadığından emin olun.

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

Sertifika Zinciri Gereksinimini Atla

Sertifika zinciri gereksinimlerini karşılayan sorunların devam etmesi halinde, otomatik olarak imzalanan sertifikalardan faydalanmak için desteklenen bir yöntem mevcuttur. Aşağıdaki makalede açıklandığı gibi yedekleme ve geri yükleme özelliğinden faydalanmaya devam edin:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur