Der Appliance-Migrationsprozess nutzt gegenseitiges TLS (mTLS). Diese Art der gegenseitigen Authentifizierung wird in einem Zero-Trust-Sicherheitsframework verwendet, in dem standardmäßig nichts vertrauenswürdig ist.
Bei einem typischen TLS-Austausch enthält der Server das TLS-Zertifikat und das Paar aus öffentlichem und privatem Schlüssel. Der Client überprüft das Serverzertifikat und fährt dann mit dem Austausch von Informationen über eine verschlüsselte Sitzung fort. Mit mTLS überprüfen sowohl der Client als auch der Server das Zertifikat, bevor sie mit dem Austausch von Daten beginnen.
Jede OpenManage Enterprise Appliance, die ein von einem Drittanbieter signiertes Zertifikat nutzt, muss die Zertifikatkette hochladen, bevor Sie mit einem Migrationsvorgang fortfahren. Eine Zertifikatkette ist eine geordnete Liste von Zertifikaten, die ein SSL/TLS-Zertifikat und Zertifikate einer Zertifizierungsstelle (CA) enthalten. Die Kette beginnt mit dem eigenständigen Zertifikat und jedes Zertifikat in der Kette wird von der Entität signiert, die durch das nächste Zertifikat in der Kette identifiziert wird.
- Zertifikat = CA-signiertes Zertifikat (eigenständig)
- Zertifikatkette = von der Zertifizierungsstelle signiertes Zertifikat + Zwischenzertifikat der Zertifizierungsstelle (falls vorhanden) + Stammzertifikat der Zertifizierungsstelle
Die Zertifikatkette muss die folgenden Anforderungen erfüllen, andernfalls werden dem Administrator Fehler angezeigt.
Anforderungen an die Zertifikatkette für die Migration
- Schlüssel für Zertifikatsignierungsanforderung stimmt überein – Während des Zertifikatuploads wird der CSR-Schlüssel (Certificate Signing Request) überprüft. OpenManage Enterprise unterstützt nur das Hochladen von Zertifikaten, die mit der Zertifikatsignierten Anforderung (CSR, Certificate Signed Request) dieser Appliance angefordert werden. Diese Validierungsprüfung wird während eines Uploads für ein einzelnes Serverzertifikat und eine Zertifikatskette durchgeführt.
- Zertifikatcodierung – Die Zertifikatdatei erfordert eine Base-64-Codierung. Stellen Sie sicher, dass beim Speichern des exportierten Zertifikats von der Zertifizierungsstelle die Base-64-Kodierung verwendet wird, andernfalls wird die Zertifikatdatei als ungültig betrachtet.
- Erweiterte Schlüsselverwendung des Zertifikats validieren – Stellen Sie sicher, dass die Schlüsselverwendung sowohl für die Serverauthentifizierung als auch für die Clientauthentifizierung aktiviert ist. Dies liegt daran, dass es sich bei der Migration um eine bidirektionale Kommunikation zwischen Quelle und Ziel handelt, wobei beide während des Informationsaustauschs als Server und Client fungieren können. Bei Einzelserverzertifikaten ist nur die Serverauthentifizierung erforderlich.
- Zertifikat ist für Schlüsselchiffrierung aktiviert – Die Zertifikatvorlage, die zum Erzeugen des Zertifikats verwendet wird, muss eine Schlüsselchiffrierung enthalten. Dadurch wird sichergestellt, dass die Schlüssel im Zertifikat verwendet werden können, um die Kommunikation zu verschlüsseln.
- Zertifikatkette mit Stammzertifikat – Das Zertifikat enthält die vollständige Kette , die das Stammzertifikat enthält. Dies ist für die Quelle und das Ziel erforderlich, um sicherzustellen, dass beide vertrauenswürdig sind. Das Stammzertifikat wird dem vertrauenswürdigen Stammspeicher jeder Appliance hinzugefügt. WICHTIG: OpenManage Enterprise unterstützt maximal 10 Lead-Zertifikate innerhalb der Zertifikatkette.
- Ausgestellt für und ausgestellt von : Das Stammzertifikat wird als Vertrauensanker verwendet und dann verwendet, um alle Zertifikate in der Kette anhand dieses Vertrauensankers zu validieren. Stellen Sie sicher, dass die Zertifikatkette das Stammzertifikat enthält.
Beispiel für eine Zertifikatskette
Ausgestellt für |
Ausgestellt von |
OMENT (Appliance) |
Inter-CA1 |
Inter-CA1 |
Stammzertifizierungsstelle |
Stammzertifizierungsstelle |
Stammzertifizierungsstelle |
Vorgang zum Hochladen einer Zertifikatkette
Sobald die vollständige Zertifikatskette abgerufen wurde, muss der OpenManage Enterprise-Administrator die Kette über die Webnutzeroberfläche unter "Anwendungseinstellungen –> Sicherheit – Zertifikate" hochladen.
Wenn das Zertifikat die Anforderungen nicht erfüllt, wird einer der folgenden Fehler in der Webnutzeroberfläche angezeigt:
- CGEN1008 – Verarbeitung der Anfrage aufgrund eines Fehlers nicht möglich
- CSEC9002 – Zertifikat konnte nicht hochgeladen werden, da die angegebene Zertifikatsdatei ungültig ist.
In den folgenden Abschnitten werden die Fehler, bedingten Auslöser und deren Behebung erläutert.
CGEN1008 – Verarbeitung der Anfrage aufgrund eines Fehlers nicht möglich.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Der
CGEN1008 Fehler wird angezeigt, wenn eine der folgenden Fehlerbedingungen erfüllt ist:
- Ungültiger CSR-Schlüssel für die Zertifikatkette
- Stellen Sie sicher, dass das Zertifikat mithilfe der CSR von der OpenManage Enterprise-Webnutzeroberfläche erzeugt wurde. OpenManage Enterprise unterstützt nicht das Hochladen eines Zertifikats, das nicht mithilfe der CSR von derselben Appliance erzeugt wurde.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Ungültige Zertifikatkette
- Das Stammzertifikat und die Zertifikate aller Zwischenzertifizierungsstellen müssen im Zertifikat enthalten sein.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Kein allgemeiner Name im Tochterzertifikat gefunden – Alle Zertifikate müssen die allgemeinen Namen enthalten und dürfen keine Platzhalter (*) enthalten.
HINWEIS: OpenManage Enterprise unterstützt keine Platzhalterzertifikate (*). Das Erzeugen einer CSR über die Webnutzeroberfläche mit einem Platzhalter (*) im Distinguished Name erzeugt den folgenden Fehler:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- Keine Client- und Serverauthentifizierung (Extended Key Usage, EKU) im Blattzertifikat vorhanden
- Das Zertifikat muss sowohl die Server- als auch die Clientauthentifizierung für die erweiterte Schlüsselverwendung umfassen.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Überprüfen Sie die Zertifikatdetails für die erweiterte Schlüsselnutzung. Wenn eine der beiden fehlen, stellen Sie sicher, dass die zum Erzeugen des Zertifikats verwendete Vorlage für beide aktiviert ist.
- Fehlende Schlüsselchiffrierung für die Schlüsselverwendung
- Auf dem Zertifikat, das hochgeladen wird, muss die Schlüsselchiffrierung für die Schlüsselverwendung aufgeführt sein.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Überprüfen Sie die Zertifikatdetails für die Schlüsselverwendung. Stellen Sie sicher, dass für die zum Erzeugen des Zertifikats verwendete Vorlage die Schlüsselchiffrierung aktiviert ist.
CSEC9002 – Zertifikat konnte nicht hochgeladen werden, da die angegebene Zertifikatsdatei ungültig ist.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Der CSEC9002 wird angezeigt, wenn eine der folgenden Fehlerbedingungen erfüllt ist:
- Schlüsselchiffrierung des Serverzertifikats fehlt
- Stellen Sie sicher, dass für die zum Erzeugen des Zertifikats verwendete Vorlage die Schlüsselchiffrierung aktiviert ist. Wenn Sie ein Zertifikat für die Migration nutzen, stellen Sie sicher, dass die vollständige Zertifikatkette hochgeladen wird und nicht das einzelne Serverzertifikat.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Zertifikatdatei enthält falsche Codierung
- Stellen Sie sicher, dass die Zertifikatdatei mit Base-64-Codierung gespeichert wurde.
- Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Vorgang zur Überprüfung der Migrationsverbindung
Nach dem erfolgreichen Hochladen der Zertifikatkette kann der Migrationsprozess mit dem nächsten Schritt fortgesetzt werden: der Herstellung einer Verbindung zwischen der Quell- und Zielkonsole. In diesem Schritt stellt der OpenManage Enterprise-Administrator die IP-Adresse und die lokalen Administratorzugangsdaten für die Quell- und Zielkonsole bereit.
Die folgenden Elemente werden beim Validieren der Verbindung überprüft:
- Ausgestellt an und ausgestellt von : Die Namen der Zertifizierungsstellen in der Kette zwischen den Quell- und Zielzertifikaten haben die gleichen "ausgestellt für" und "ausgestellt von". Wenn diese Namen nicht übereinstimmen, kann die Quelle oder das Ziel nicht überprüfen, ob die Zertifikate von denselben signierenden Zertifizierungsstellen ausgestellt wurden. Dies ist entscheidend für die Einhaltung des Zero-Trust-Sicherheitsframeworks.
Gültige Zertifikatkette zwischen Quelle und Ziel
Quellzertifikat |
|
|
Zielzertifikat |
|
Ausgestellt für |
Ausgestellt von |
|
Ausgestellt für |
Ausgestellt von |
OMENT-310 (Quelle) |
Inter-CA1 |
<-> |
OMENT-400 (Ziel) |
Inter-CA1 |
Inter-CA1 |
Stammzertifizierungsstelle |
<-> |
Inter-CA1 |
Stammzertifizierungsstelle |
Stammzertifizierungsstelle |
Stammzertifizierungsstelle |
<-> |
Stammzertifizierungsstelle |
Stammzertifizierungsstelle |
Ungültige Zertifikatkette zwischen Quelle und Ziel
Quellzertifikat |
|
|
Zielzertifikat |
|
Ausgestellt für |
Ausgestellt von |
|
Ausgestellt für |
Ausgestellt von |
OMENT-310 (Quelle) |
Inter-CA1 |
X |
OMENT-400 (Ziel) |
Inter-CA2 |
Inter-CA1 |
Stammzertifizierungsstelle |
X |
Inter-CA2 |
Stammzertifizierungsstelle |
Stammzertifizierungsstelle |
Stammzertifizierungsstelle |
<-> |
Stammzertifizierungsstelle |
Stammzertifizierungsstelle |
- Gültigkeitsdauer : prüft die Gültigkeitsdauer des Zertifikats anhand des Datums und der Uhrzeit der Appliance.
- Maximale Tiefe : Stellen Sie sicher, dass die Zertifikatkette die maximale Tiefe von 10 untergeordneten Zertifikaten nicht überschreitet.
Wenn die Zertifikate die oben genannten Anforderungen nicht erfüllen, wird beim Versuch, die Konsolenverbindungen zu validieren, der folgende Fehler angezeigt:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Anforderung zur Umgehung der Zertifikatkette
Wenn es weiterhin Probleme gibt, die die Anforderungen der Zertifikatkette erfüllen, gibt es eine unterstützte Methode, die verwendet werden kann, um die selbstsignierten Zertifikate zu nutzen. Fahren Sie mit der Nutzung der Backup- und Wiederherstellungsfunktion fort, wie im folgenden Artikel beschrieben:
https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur