Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Article Number: 000221202

Deteção e resolução de problemas da cadeia de certificados necessários para a migração do OpenManage Enterprise

Summary: Os administradores do OpenManage Enterprise podem deparar-se com vários erros durante a fase de carregamento da cadeia de certificados (CGEN1008 e CSEC9002) e de verificação da ligação. Segue-se um guia para ajudar os administradores do OpenManage Enterprise no caso de se depararem com erros durante esta fase do processo de migração. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Instructions

O processo de migração de appliances tira partido do TLS mútuo (mTLS). Este tipo de autenticação mútua é utilizado dentro de uma estrutura de segurança Zero Trust em que nada é fidedigno por predefinição.
 
Em uma troca TLS típica, o servidor mantém o certificado TLS e o par de chaves pública e privada. O cliente verifica o certificado do servidor e, em seguida, prossegue com a troca de informações através de uma sessão encriptada. Com o mTLS, o cliente e o servidor verificam o certificado antes de começarem a trocar dados.
Diagrama de comunicação entre cliente e servidor mTLS 
Qualquer appliance OpenManage Enterprise que tire partido de um certificado assinado de outros fabricantes tem de carregar a cadeia de certificados antes de prosseguir com uma operação de migração. Uma cadeia de certificados é uma lista ordenada de certificados que contém um Certificado SSL/TLS e Certificados da Autoridade de Certificação (CA). A cadeia começa com o certificado autónomo e segue-se os certificados assinados pela entidade identificada no certificado seguinte na cadeia.
  • Certificado = certificado assinado pela AC (independente)
  • Cadeia de certificados = certificado assinado pela AC + certificado da AC intermédia (se existir) + certificado da AC de raiz
A cadeia de certificados tem de cumprir os seguintes requisitos, caso contrário são apresentados erros ao administrador.
 

Requisitos da cadeia de certificados para migração 

  1. Correspondências de chave de Pedido de Assinatura de Certificado - Durante o carregamento do certificado, a chave de Pedido de Assinatura de Certificado (CSR) é verificada. O OpenManage Enterprise suporta apenas o carregamento de certificados solicitados através do Pedido de Certificado Assinado (CSR) por esse appliance. Essa verificação de validação é executada durante um carregamento para um único certificado de servidor e uma cadeia de certificados.
  2. Codificação de certificado - O arquivo de certificado requer codificação Base 64. Certifique-se de que, ao salvar o certificado exportado da autoridade de certificação, a codificação Base 64 seja usada, caso contrário, o arquivo de certificado será considerado inválido.
  3. Validar uso avançado de chaves do certificado - Verifique se o uso da chave está habilitado para a Autenticação do Servidor e a Autenticação do Cliente. Isso ocorre porque a migração é uma comunicação bidirecional entre a origem e o destino, onde ambos podem atuar como um servidor e um cliente durante a troca de informações. Para certificados de servidor único, apenas a autenticação do servidor é necessária.
  4. O certificado está habilitado para codificação de chave - O modelo de certificado usado para gerar o certificado deve incluir a codificação de chave. Isso garante que as chaves no certificado possam ser usadas para criptografar a comunicação.
  5. Cadeia de certificados com certificado raiz - O certificado contém a cadeia completa que inclui o certificado raiz. Isso é necessário para a origem e o destino para garantir que ambos possam ser confiáveis. O certificado raiz é adicionado ao armazenamento raiz confiável de cada dispositivo. IMPORTANTE: O OpenManage Enterprise suporta um máximo de 10 certificados leaf na cadeia de certificados.
  6. Emitido para e emitido por - O certificado raiz é usado como a âncora de confiança e, em seguida, usado para validar todos os certificados na cadeia em relação a essa âncora de confiança. Certifique-se de que a cadeia de certificados inclui o certificado raiz.
Exemplo de cadeia de certificados
Emitido para Emitido por
OMENT (aparelho) Inter-CA1
Inter-CA1 CA-raiz
CA-raiz CA-raiz


Operação de carregamento da cadeia de certificados

Uma vez adquirida a cadeia de certificados completa, o administrador do OpenManage Enterprise tem de carregar a cadeia através da IU Web - 'Definições da Aplicação -> Segurança - Certificados'.
 
Se o certificado não atender aos requisitos, um dos seguintes erros é mostrado na interface do usuário da Web:
  • CGEN1008 - Não foi possível processar o pedido porque ocorreu um erro
  • CSEC9002 - Não foi possível carregar o certificado porque o ficheiro de certificado fornecido é inválido.
As seções a seguir destacam os erros, os gatilhos condicionais e como corrigir.

CGEN1008 - Não foi possível processar o pedido porque ocorreu um erro.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Erro de carregamento do certificado CGEN1008 Não foi possível processar o pedido porque ocorreu um erro 
O erro CGEN1008 é exibido se qualquer uma das seguintes condições de erro forem atendidas:
  • Chave CSR inválida para a cadeia de certificados
    • Certifique-se de que o certificado foi gerado utilizando o CSR da IU Web do OpenManage Enterprise. O OpenManage Enterprise não suporta o carregamento de um certificado que não tenha sido gerado através do CSR a partir do mesmo appliance.
    • O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Cadeia de certificação inválida
    • Os certificados das autoridades de certificação de raiz e de todas as autoridades de certificação intermédias devem ser incluídos no certificado.
    • O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Nenhum Nome Comum encontrado no certificado folha - Todos os certificados devem incluir os nomes comuns e não conter nenhum curinga (*).
Nota: O OpenManage Enterprise não suporta certificados de carácter universal (*). Gerar um CSR a partir da interface do usuário da Web usando um curinga (*) no nome distinto gera o seguinte erro: 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Erro de carregamento do certificado CGEN6002 Não é possível concluir a solicitação porque o valor de entrada para DistinguishedName está ausente ou um valor inválido é inserido 
  • No certificado leaf não existe qualquer EKU (Extended Key Use, Utilização Alargada da Chave) de Client e Server
    • O certificado deve incluir a autenticação de servidor e cliente para uso estendido de chave.
    • O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Reveja os detalhes do certificado para obter informações sobre a utilização de chaves melhoradas. Se algum deles estiver ausente, verifique se o modelo usado para gerar o certificado está habilitado para ambos.
Detalhes do certificado mostrando o uso avançado de chaves para autenticação de servidor e cliente 
  • Codificação de chave ausente para uso de chaves
    • O certificado que está sendo carregado deve ter a codificação de chave listada para uso de chave.
    • O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Reveja os detalhes do certificado para a utilização da chave. Certifique-se de que o modelo utilizado para gerar o certificado tem a codificação da chave ativada.
Detalhes do certificado que mostram o uso da chave para codificação de chaves 
 

CSEC9002 - Não foi possível carregar o certificado porque o ficheiro de certificado fornecido é inválido.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Erro de carregamento do certificado CSEC9002 Não foi possível carregar o certificado porque o ficheiro de certificado fornecido é inválido.
 
O erro CSEC9002 é exibido se qualquer uma das seguintes condições de erro forem atendidas: 
  • Codificação de chave ausente do certificado do servidor
    • Certifique-se de que o modelo utilizado para gerar o certificado tem a codificação da chave ativada. Ao aproveitar um certificado para migração, certifique-se de que a cadeia de certificados completa seja carregada em vez do certificado de servidor único.
    • O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • O arquivo de certificado contém codificação incorreta
    • Verifique se o arquivo de certificado foi salvo usando a codificação Base 64.
    • O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operação de verificação de conexão de migração

Depois de carregar com êxito a cadeia de certificados, o processo de migração pode prosseguir com a próxima etapa - estabelecer a conexão entre os consoles de origem e de destino. Nesta etapa, o administrador do OpenManage Enterprise fornece o endereço IP e as credenciais de administrador local para as consolas de origem e de destino.
 
Os seguintes itens são verificados ao validar a conexão:
  • Emitido a e emitido por - Os nomes das autoridades certificadoras na cadeia entre cada certificado de origem e de destino têm o mesmo «emitido para» e «emitido por». Se esses nomes não corresponderem, a origem ou o destino não poderão verificar se as mesmas autoridades de assinatura emitiram os certificados. Isto é crucial para aderir à estrutura de segurança Zero-Trust.
Cadeia de certificados válida entre a origem e o destino
Certificado de origem     Certificado de Destino  
Emitido para Emitido por   Emitido para Emitido por
OMENT-310 (fonte) Inter-CA1 <-> OMENT-400 (alvo) Inter-CA1
Inter-CA1 CA-raiz <-> Inter-CA1 CA-raiz
CA-raiz CA-raiz <-> CA-raiz CA-raiz
 
 
Cadeia de certificados inválida entre a origem e o destino
Certificado de origem     Certificado de Destino  
Emitido para Emitido por   Emitido para Emitido por
OMENT-310 (fonte) Inter-CA1 X OMENT-400 (alvo) Inter-CA2
Inter-CA1 CA-raiz X Inter-CA2 CA-raiz
CA-raiz CA-raiz <-> CA-raiz CA-raiz
 
  • Período de validade - verifica o período de validade do certificado com a data e hora do aparelho.
  • Profundidade máxima - verificar se a cadeia de certificados não excede a profundidade máxima de certificados de 10 folhas.
Se os certificados não atenderem aos requisitos acima, o seguinte erro será visto ao tentar validar as conexões do console: 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Erro de validação da ligação de migração — Não foi possível autenticar e ligar mutuamente ao appliance remoto. 

Ignorar Requisito de Cadeia de Certificados

Se houver problemas contínuos ao carregar a cadeia de certificados necessária, há um método suportado que pode ser usado para aproveitar o certificado autoassinado.

Prossiga com o aproveitamento do recurso de backup e restauração, conforme descrito no seguinte artigo:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Article Properties

Affected Product

Dell EMC OpenManage Enterprise

Last Published Date

11 Jun 2024

Version

4

Article Type

How To

Back to Top