Omitir para ir al contenido principal
Cerrar

Bienvenido a Dell

Mi cuenta
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos
  • Administre sus sitios, productos y contactos de nivel de producto de Dell EMC con Administración de la empresa.
Iniciar sesión Crear una cuenta Clientes Premier Iniciar sesión en el programa para partners
Contáctenos

Número del artículo: 000221202

Solución de problemas de la cadena de certificados necesarios para la migración a OpenManage Enterprise

Resumen: Los administradores de OpenManage Enterprise pueden encontrarse con varios errores durante la carga de la cadena de certificados (CGEN1008 y CSEC9002) y la etapa de verificación de la conexión. La siguiente es una guía para ayudar a los administradores de OpenManage Enterprise en caso de que se encuentren con errores durante esta etapa del proceso de migración. ...

Es posible que este artículo se traduzca automáticamente. Si tiene comentarios sobre su calidad, háganoslo saber mediante el formulario en la parte inferior de esta página.

Contenido del artículo

Instrucciones

El proceso de migración del dispositivo aprovecha TLS mutuo (mTLS). Este tipo de autenticación mutua se utiliza dentro de una infraestructura de seguridad de confianza cero en la que no se confía en nada de manera predeterminada.
 
En un intercambio de TLS típico, el servidor contiene el certificado TLS y el par de claves pública y privada. El cliente verifica el certificado del servidor y, a continuación, procede con el intercambio de información a través de una sesión cifrada. Con mTLS, tanto el cliente como el servidor verifican el certificado antes de comenzar a intercambiar datos.
Diagrama de comunicación de cliente y servidor mTLS 
Cualquier dispositivo OpenManage Enterprise que utilice un certificado firmado de terceros debe cargar la cadena de certificados antes de continuar con una operación de migración. Una cadena de certificados es una lista ordenada de certificados que contiene un certificado SSL/TLS y certificados de autoridad de certificación (CA). La cadena comienza con el certificado independiente y cada certificado de la cadena está firmado por la entidad identificada por el certificado siguiente de la cadena.
  • Certificado = certificado firmado por una CA (independiente)
  • Cadena de certificados = certificado firmado por una CA + certificado de CA intermedio (si existe) + certificado de CA raíz
La cadena de certificados debe cumplir con los siguientes requisitos; de lo contrario, el administrador verá errores.
 

Requisitos de la cadena de certificados para la migración 

  1. Coincidencias de claves de solicitud de firma de certificado : durante la carga del certificado, se comprueba la clave de solicitud de firma de certificado (CSR). OpenManage Enterprise solo es compatible con la carga de certificados solicitados mediante la solicitud de certificado firmado (CSR) de ese dispositivo. Esta comprobación de validación se realiza durante una carga para un único certificado de servidor y una cadena de certificados.
  2. Codificación de certificado : el archivo de certificado requiere codificación de base 64. Asegúrese de que, al guardar el certificado exportado desde la autoridad de certificación, se utilice la codificación base 64; de lo contrario, el archivo de certificado se considerará no válido.
  3. Validar el uso mejorado de claves del certificado : compruebe que el uso de claves esté habilitado para la autenticación del servidor y la autenticación del cliente. Esto se debe a que la migración es una comunicación bidireccional entre el origen y el destino, donde cualquiera de ellos puede actuar como servidor y cliente durante el intercambio de información. Para los certificados de servidor único, solo se requiere la autenticación del servidor.
  4. El certificado está activado para el cifrado de claves : la plantilla de certificado utilizada para generar el certificado debe incluir el cifrado de claves. Esto garantiza que las claves del certificado se puedan utilizar para cifrar la comunicación.
  5. Cadena de certificados con certificado raíz : el certificado contiene la cadena completa que incluye el certificado raíz. Esto es necesario para que el origen y el destino garanticen que ambos sean de confianza. El certificado raíz se agrega al almacén raíz de confianza de cada dispositivo. IMPORTANTE: OpenManage Enterprise admite un máximo de 10 certificados de oportunidad potencial dentro de la cadena de certificados.
  6. Emitido por y emitido por : el certificado raíz se utiliza como anclaje de confianza y, a continuación, se usa para validar todos los certificados de la cadena con respecto a ese anclaje de confianza. Asegúrese de que la cadena de certificados incluya el certificado raíz.
Ejemplo de cadena de certificados
Emitido para Emitido por
OMENT (aparato) Inter-CA1
Inter-CA1 CA raíz
CA raíz CA raíz


Operación de carga de la cadena de certificados

Una vez que se adquiere la cadena de certificados completa, el administrador de OpenManage Enterprise debe cargar la cadena a través de la interfaz de usuario web: "Configuración de la aplicación -> Seguridad - Certificados".
 
Si el certificado no cumple con los requisitos, se muestra uno de los siguientes errores en la interfaz de usuario web:
  • CGEN1008 - No se puede procesar la solicitud porque se ha producido un error
  • CSEC9002 - No se puede cargar el certificado porque el archivo de certificado proporcionado no es válido.
En las siguientes secciones se destacan los errores, los desencadenadores condicionales y cómo corregirlos.

CGEN1008 - No se puede procesar la solicitud porque se produjo un error.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Error de carga del certificado CGEN1008 No se puede procesar la solicitud porque se produjo un error 
El error de CGEN1008 se muestra si se cumple alguna de las siguientes condiciones de error:
  • Clave CSR no válida para la cadena de certificados
    • Asegúrese de que el certificado se haya generado mediante la CSR desde la interfaz de usuario web de OpenManage Enterprise. OpenManage Enterprise no soporta la carga de un certificado que no se haya generado mediante CSR desde el mismo dispositivo.
    • Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Cadena de certificados no válida
    • Los certificados de todas las autoridades de certificación raíz e intermedias deben incluirse en el certificado.
    • Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • No se encontró ningún nombre común en el certificado de extensión : todos los certificados deben incluir los nombres comunes y no contener comodines (*).
NOTA: OpenManage Enterprise no es compatible con los certificados comodín (*). La generación de una CSR desde la interfaz de usuario web mediante un comodín (*) en el nombre distintivo genera el siguiente error: 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Error de carga del certificado CGEN6002 No se puede completar la solicitud porque falta el valor de entrada para DistinguishedName o se ingresó un valor no válido 
  • No hay autenticación de cliente y servidor Uso extendido de claves (EKU) presente en el certificado de hoja
    • El certificado debe incluir la autenticación del servidor y del cliente para el uso extendido de claves.
    • Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Revise los detalles del certificado para mejorar el uso de claves. Si alguno de ellos no está, asegúrese de que la plantilla utilizada para generar el certificado esté habilitado para ambos.
Detalles del certificado que muestran el uso mejorado de claves para la autenticación de servidor y cliente 
  • Falta el cifrado de claves para el uso de claves
    • El certificado que se cargará debe tener el cifrado de claves indicado para el uso de claves.
    • Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Revise los detalles del certificado para conocer el uso de claves. Asegúrese de que la plantilla utilizada para generar el certificado tenga habilitado el cifrado de claves.
Detalles del certificado que muestran el uso de claves para el cifrado de claves 
 

CSEC9002 - No se puede cargar el certificado porque el archivo de certificado proporcionado no es válido.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Error de carga del certificado CSEC9002 No se puede cargar el certificado porque el archivo de certificado proporcionado no es válido.
 
El error CSEC9002 se muestra si se cumple alguna de las siguientes condiciones de error: 
  • Falta el cifrado de claves en el certificado del servidor
    • Asegúrese de que la plantilla utilizada para generar el certificado tenga habilitado el cifrado de claves. Cuando aproveche un certificado para la migración, asegúrese de que se cargue la cadena de certificados completa en lugar del certificado de servidor único.
    • Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • El archivo de certificado contiene una codificación incorrecta
    • Asegúrese de que el archivo de certificado se guardó con la codificación de base 64.
    • Se observa el siguiente error en el registro de la aplicación Tomcat ubicado en el paquete de registros de la consola:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operación de verificación de la conexión de migración

Después de cargar correctamente la cadena de certificados, el proceso de migración puede continuar con el paso siguiente: establecer la conexión entre las consolas de origen y destino. En este paso, el administrador de OpenManage Enterprise proporciona la dirección IP y las credenciales de administrador local para las consolas fuente y objetivo.
 
Los siguientes elementos se comprueban cuando se valida la conexión:
  • Emitido a y emitido por : los nombres de las autoridades de certificación en la cadena entre cada uno de los certificados fuente y objetivo tienen el mismo "emitido para" y "emitido por". Si estos nombres no coinciden, el origen o el destino no pueden verificar que las mismas autoridades firmantes emitieron los certificados. Esto es crucial para adherirse al marco de seguridad de confianza cero.
Cadena de certificados válida entre el origen y el destino
Certificado de origen     Certificado de destino  
Emitido para Emitido por   Emitido para Emitido por
OMENT-310 (fuente) Inter-CA1 <-> OMENT-400 (objetivo) Inter-CA1
Inter-CA1 CA raíz <-> Inter-CA1 CA raíz
CA raíz CA raíz <-> CA raíz CA raíz
 
 
Cadena de certificados no válida entre el origen y el destino
Certificado de origen     Certificado de destino  
Emitido para Emitido por   Emitido para Emitido por
OMENT-310 (fuente) Inter-CA1 X OMENT-400 (objetivo) Inter-CA2
Inter-CA1 CA raíz X Inter-CA2 CA raíz
CA raíz CA raíz <-> CA raíz CA raíz
 
  • Período de validez : comprueba el período de validez del certificado con la fecha y hora del dispositivo.
  • Profundidad máxima : verifique que la cadena de certificados no supere la profundidad máxima de los certificados de 10 hojas.
Si los certificados no cumplen con los requisitos anteriores, se observa el siguiente error cuando se intenta validar las conexiones de la consola: 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Error de validación de la conexión de migración: no se puede autenticar mutuamente ni conectarse al dispositivo remoto. 

Omitir el requisito de la cadena de certificados

Si hay problemas continuos para cumplir con los requisitos de la cadena de certificados, existe un método compatible que se puede utilizar para aprovechar los certificados autofirmados. Continúe con el aprovechamiento de la característica de respaldo y restauración, como se describe en el siguiente artículo:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

Propiedades del artículo

Producto comprometido

Dell EMC OpenManage Enterprise

Fecha de la última publicación

25 abr 2024

Versión

3

Tipo de artículo

How To

Volver al principio