Article Number: 000221202
故障診斷 OpenManage Enterprise 遷移所需的憑證鏈問題
Summary: OpenManage Enterprise 系統管理員可能會在憑證鏈上傳 (CGEN1008 和 CSEC9002) 和連線驗證階段遇到數個錯誤。以下指南可協助 OpenManage Enterprise 系統管理員在遷移程序的這個階段遇到錯誤。
Article Content
Instructions
裝置遷移程序會使用相互 TLS (mTLS)。這種類型的相互身份驗證在零信任安全框架中使用,默認情況下不會信任任何內容。
在典型的 TLS 交換中,伺服器持有 TLS 證書以及公鑰和私鑰對。用戶端驗證伺服器證書,然後繼續通過加密會話交換資訊。使用 mTLS,客戶端和伺服器在開始交換任何數據之前都會驗證證書。
任何利用第三方簽署憑證的 OpenManage Enterprise 裝置都必須先上傳憑證鏈結,才能繼續進行遷移作業。證書鏈是包含 SSL/TLS 證書和證書頒發機構 (CA) 證書的有序證書清單。鏈從獨立證書開始,鏈中的每個證書都由鏈中的下一個證書標識的實體簽名。
取得完整的憑證鏈結後,OpenManage Enterprise 系統管理員必須透過 Web UI -「應用程式設定 -> 安全性 -憑證」上傳鏈結。
如果憑證不符合需求,Web UI 中會顯示下列其中一個錯誤:
驗證連線時,會檢查下列項目:
在典型的 TLS 交換中,伺服器持有 TLS 證書以及公鑰和私鑰對。用戶端驗證伺服器證書,然後繼續通過加密會話交換資訊。使用 mTLS,客戶端和伺服器在開始交換任何數據之前都會驗證證書。
任何利用第三方簽署憑證的 OpenManage Enterprise 裝置都必須先上傳憑證鏈結,才能繼續進行遷移作業。證書鏈是包含 SSL/TLS 證書和證書頒發機構 (CA) 證書的有序證書清單。鏈從獨立證書開始,鏈中的每個證書都由鏈中的下一個證書標識的實體簽名。
- 憑證 = CA 簽署憑證 (獨立)
- 憑證鏈 = CA 簽署憑證 + 中階 CA 憑證 (若有) + 根 CA 憑證
遷移的憑證鏈要求
- 憑證簽署要求金鑰相符 - 在憑證上傳期間,會檢查憑證簽署要求 (CSR) 金鑰。OpenManage Enterprise 僅支援上傳該裝置使用憑證簽署要求 (CSR) 要求的憑證。此驗證檢查會在上傳單一伺服器憑證和憑證鏈結期間執行。
- 證書編碼 - 證書檔需要Base 64編碼。請確定在儲存從認證機構匯出的憑證時,會使用 Base 64 編碼,否則會將憑證檔案視為無效。
- 驗證憑證增強型金鑰用法 - 檢查以確保為伺服器身份驗證和用戶端身份驗證啟用金鑰用法。這是因為遷移是源和目標之間的雙向通信,其中任何一方都可以在資訊交換期間充當伺服器和用戶端。對於單個伺服器證書,只需要伺服器身份驗證。
- 憑證已啟用金鑰加密 - 用於產生憑證的憑證範本必須包含金鑰加密。這可確保證書中的金鑰可用於加密通信。
- 具有根憑證的憑證鏈結 - 憑證包含包含根憑證的完整鏈結。這是源和目標所必需的,以確保兩者都可以信任。根證書將添加到每個設備的受信任根存儲中。重要:OpenManage Enterprise 支援憑證鏈結中最多 10 個主要憑證。
- 頒發給和頒發者 - 根證書用作信任錨,然後用於根據該信任錨驗證鏈中的所有證書。確保證書鏈包含根證書。
| 發行對象 | 發行者 |
| OMENT (應用裝置) | CA1 間 |
| CA1 間 | 根 CA |
| 根 CA | 根 CA |
憑證鏈上傳作業
取得完整的憑證鏈結後,OpenManage Enterprise 系統管理員必須透過 Web UI -「應用程式設定 -> 安全性 -憑證」上傳鏈結。
如果憑證不符合需求,Web UI 中會顯示下列其中一個錯誤:
- CGEN1008 - 無法處理要求,因為發生錯誤
- CSEC9002 - 無法上傳憑證,因為提供的認證檔案無效。
CGEN1008 - 無法處理要求,因為發生錯誤。
CGEN1008 - Unable to process the request because an error occurred. Retry the operation. If the issue persists, contact your system administrator.
如果符合下列任一錯誤條件,就會顯示 CGEN1008 錯誤:
- 憑證鏈的無效 CSR 金鑰
- 請確定憑證是使用 OpenManage Enterprise Web UI 的 CSR 產生。OpenManage Enterprise 不支援上傳非使用相同裝置的 CSR 產生的憑證。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 無效的憑證鏈結
- 根證書和所有中間證書頒發機構的證書必須包含在證書中。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 在分葉憑證中找不到常見名稱 - 所有憑證必須包含常見名稱,且不包含任何萬用字元 (*)。
注意:OpenManage Enterprise 不支援萬用字元 (*) 憑證。使用萬用字元 (*) 在辨別名稱中使用萬用字元 (*) 從 Web UI 產生 CSR,會產生下列錯誤:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- 葉憑證中不存在用戶端和伺服器驗證延伸金鑰用法 (EKU)
- 證書必須包括伺服器和用戶端身份驗證,以便使用擴展密鑰。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 查看證書詳細資訊以瞭解增強的金鑰用法。如果缺少任一者,請確定兩者皆啟用產生憑證用的範本。
- 金鑰用法缺少金鑰加密
- 要上傳的憑證必須列出金鑰加密,以供金鑰使用。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 查看證書詳細資訊以瞭解金鑰用法。請確定用於產生憑證的範本已啟用金鑰加密。
CSEC9002 - 無法上傳憑證,因為提供的認證檔案無效。
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid. Make sure the CA certificate and private key are correct and retry the operation.
如果符合下列任一錯誤條件,就會顯示 CSEC9002 錯誤:
- 伺服器憑證遺失金鑰加密
- 請確定用於產生憑證的範本已啟用金鑰加密。運用憑證進行遷移時,請確定已上傳完整的憑證鏈結,而非單一伺服器憑證。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- 認證檔案包含錯誤的編碼
- 請確定認證檔案是以 Base 64 編碼儲存。
- 在主控台記錄套裝中的 tomcat 應用程式記錄中會看到下列錯誤:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
遷移連線驗證作業
成功上傳證書鏈后,遷移過程可以繼續執行下一步 - 在源控制台和目標控制台之間建立連接。在此步驟中,OpenManage Enterprise 系統管理員會提供來源和目標主控台的 IP 位址和本機系統管理員認證。驗證連線時,會檢查下列項目:
- 頒發者和頒發者 - 每個源證書和目標證書之間的鏈中的證書頒發機構的名稱具有相同的“頒發者”和“頒發者”。如果這些名稱不匹配,則源或目標無法驗證相同的簽名頒發機構是否頒發了證書。這對於遵守零信任安全架構至關重要。
| 來源憑證 | 目標憑證 | |||
| 發行對象 | 發行者 | 發行對象 | 發行者 | |
| OMENT-310 (來源) | CA1 間 | <-> | OMENT-400 (目標) | CA1 間 |
| CA1 間 | 根 CA | <-> | CA1 間 | 根 CA |
| 根 CA | 根 CA | <-> | 根 CA | 根 CA |
| 來源憑證 | 目標憑證 | |||
|---|---|---|---|---|
| 發行對象 | 發行者 | 發行對象 | 發行者 | |
| OMENT-310 (來源) | CA1 間 | X | OMENT-400 (目標) | CA2 間 |
| CA1 間 | 根 CA | X | CA2 間 | 根 CA |
| 根 CA | 根 CA | <-> | 根 CA | 根 CA |
- 有效期 - 根據裝置的日期與時間檢查憑證有效期。
- 最大深度 - 驗證證書鏈是否不超過 10 葉證書的最大深度。
Unable to mutually authenticate and connect to the remote appliance. Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
略過憑證鏈要求
如果在滿足憑證鏈要求時持續發生問題,則有一種支援的方法可用於運用自我簽署憑證。繼續運用下列文章所述的備份和還原功能: https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur
Article Properties
Affected Product
Dell EMC OpenManage Enterprise
Last Published Date
25 Apr 2024
Version
3
Article Type
How To