OME: Dépannage des problèmes liés à la chaîne de certificats requise pour la migration d’OpenManage Enterprise

Le processus de migration de l’appliance utilise le protocole TLS mutuel (mTLS). Ce type d’authentification mutuelle est utilisé dans un cadre de sécurité Zero-Trust, où rien n’est approuvé par défaut.
 
Dans un échange TLS classique, le serveur détient le certificat TLS et la paire de clés publique/privée. Le client vérifie le certificat du serveur, puis procède à l’échange d’informations via une session chiffrée. Avec le protocole mTLS, le client et le serveur vérifient le certificat avant de commencer à échanger des données.

Toute appliance OpenManage Enterprise faisant appel à un certificat signé par un tiers doit télécharger la chaîne de certificats avant de procéder à une opération de migration. Une chaîne de certificats est une liste ordonnée de certificats contenant un certificat SSL/TLS et des certificats d’autorité de certification (CA). La chaîne commence par le certificat autonome, suivi des certificats signés par l’entité identifiée dans le certificat suivant de la chaîne.

• Certificat = certificat signé par une autorité de certification (autonome)
• Chaîne de certificat = Certificat signé par une autorité de certification + certificat d’autorité de certification intermédiaire (le cas échéant) + certificat d’autorité de certification racine

La chaîne de certificats doit répondre aux exigences suivantes, faute de quoi l’administrateur reçoit des messages d’erreur.
 

Exigences relatives à la chaîne de certificats pour la migration 

1. Correspondances de clés des demandes de signature de certificat : lors du téléchargement du certificat, la clé de la demande de signature de certificat (CSR) est vérifiée. OpenManage Enterprise prend uniquement en charge le téléchargement des certificats demandés à l’aide de la demande de signature de certificat (CSR) par cette appliance. Ce contrôle de validation a lieu lors du téléchargement d’un certificat de serveur unique et d’une chaîne de certificats.
2. Codage du certificat : le fichier de certificat nécessite un codage en base 64. Assurez-vous que le codage en base 64 est utilisé lors de l’enregistrement du certificat exporté à partir de l’autorité de certification, auquel cas le fichier de certificat est considéré comme non valide.
3. Valider l’utilisation améliorée des clés par le certificat : assurez-vous que l’utilisation des clés est activée pour l’authentification du serveur et l’authentification du client. En effet, la migration est une communication bidirectionnelle entre la source et la cible, où l’une ou l’autre peut faire office de serveur et de client pendant l’échange d’informations. Pour les certificats de serveur uniques, seule l’authentification du serveur est requise.
4. Le certificat est activé pour le chiffrement des clés : le modèle de certificat utilisé pour générer le certificat doit inclure le chiffrement des clés. Cela permet de s’assurer que les clés du certificat peuvent être utilisées pour chiffrer les communications.
5. Chaîne de certificats avec certificat racine : le certificat contient la chaîne complète qui inclut le certificat racine. Cette chaîne est nécessaire pour vérifier que la source et la cible sont toutes deux fiables. Le certificat racine est ajouté au magasin racine de confiance de chaque appliance. IMPORTANT : OpenManage Enterprise prend en charge 10 certificats Leaf maximum dans la chaîne de certificats.
6. Émis à et Émis par : le certificat racine est utilisé comme ancre d’approbation, puis sert à valider tous les certificats de la chaîne par rapport à cette ancre d’approbation. Assurez-vous que la chaîne de certificats inclut le certificat racine.

Opération de téléchargement de chaîne de certificats

Une fois la chaîne de certificats complète acquise, l’administrateur OpenManage Enterprise doit la télécharger via l’interface utilisateur Web : « Paramètres > d’application Sécurité - Certificats ».
 
Si le certificat ne répond pas aux exigences, l’une des erreurs suivantes s’affiche dans l’interface utilisateur Web :

• CGEN1008 - Unable to process the request because an error occurred
• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

Les sections suivantes mettent en évidence les erreurs, les déclencheurs conditionnels et la mesure corrective.

• CGEN1008 - Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

La commande CGEN1008 Une erreur s’affiche si l’une des conditions d’erreur suivantes est remplie :

• Clé de la CSR non valide pour la chaîne de certificats
  • Assurez-vous que le certificat a été généré à l’aide de la CSR à partir de l’interface utilisateur Web d’OpenManage Enterprise. OpenManage Enterprise ne prend pas en charge le téléchargement d’un certificat qui n’a pas été généré à l’aide de la CSR à partir de la même appliance.
  • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Chaîne de certificats non valide
  • Le certificat racine et tous les certificats des autorités de certification intermédiaires doivent être inclus dans le certificat.
  • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Aucun nom commun trouvé dans le certificat Leaf : tous les certificats doivent inclure les noms communs et ne pas contenir de caractères génériques (*).

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• Aucune utilisation étendue des clés (EKU) pour l’authentification du client et du serveur n’est présente dans le certificat Leaf
  • Le certificat doit inclure à la fois l’authentification du serveur et l’authentification du client pour l’utilisation étendue des clés.
  • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Passez en revue les détails du certificat pour mieux utiliser les clés. Si l’une ou l’autre clé est manquante, assurez-vous que le modèle utilisé pour générer le certificat est activé pour les deux clés.

 

• Chiffrement des clés manquant pour l’utilisation des clés
  • Le chiffrement des clés doit être répertorié dans le certificat en cours de téléchargement pour l’utilisation des clés.
  • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Passez en revue les détails du certificat pour l’utilisation des clés. Assurez-vous que le chiffrement des clés est activé dans le modèle utilisé pour générer le certificat.

 
 

• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

  CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
  Make sure the CA certificate and private key are correct and retry the operation.

  

 La commande CSEC9002 Une erreur s’affiche si l’une des conditions d’erreur suivantes est remplie : 

• Chiffrement de clé manquant pour le certificat de serveur
  • Assurez-vous que le chiffrement des clés est activé dans le modèle utilisé pour générer le certificat. Lorsque vous utilisez un certificat pour la migration, assurez-vous que la chaîne de certificats complète est chargée, et non le certificat de serveur unique.
  • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• Le fichier de certificat contient un codage incorrect
  • Assurez-vous que le fichier de certificat a été enregistré à l’aide du codage en base 64.
  • L’erreur suivante s’affiche dans le journal de l’application tomcat situé dans l’offre groupée de journaux de la console :

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Opération de vérification de la connexion de migration

Une fois la chaîne de certificats téléchargée, le processus de migration peut passer à l’étape suivante, à savoir établir la connexion entre les consoles source et cible. Au cours de cette étape, l’administrateur OpenManage Enterprise fournit l’adresse IP et les informations d’identification de l’administrateur local pour les consoles source et cible.
 
Les éléments suivants sont vérifiés lors de la validation de la connexion :

• Émis à et Émis par : les noms des autorités de certification de la chaîne entre chaque certificat source et chaque certificat cible comportent les mêmes éléments « Émis à » et « Émis par ». Si ces noms ne correspondent pas, la source ou la cible ne peut pas vérifier que les mêmes autorités de signature ont émis les certificats. Ceci est essentiel pour respecter le cadre de sécurité Zero-Trust.

• Période de validité : vérifie la période de validité du certificat avec la date et l’heure de l’appliance.
• Profondeur maximale : vérifiez que la chaîne de certificats ne dépasse pas la profondeur maximale de 10 certificats Leaf.

Si les certificats ne répondent pas aux exigences ci-dessus, l’erreur suivante s’affiche lors de la tentative de validation des connexions de la console :

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

Contournement des exigences relatives à la chaîne de certificats