Data Domain:KMIPサーバー証明書の信頼チェーンがある場合、外部キー マネージャー(KMIP)の構成が失敗する
Résumé: 外部キー マネージャー(KIMP)を構成する場合、DDとKMIPサーバー間の信頼が信頼チェーンを介している場合(KMIP証明書はルートCAによって発行されず、中間CAによって発行されます)、DD CLIまたはUIから適切に構成することはできません。
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
CLIまたはWeb UIを使用して、KMIPプロトコルを使用して外部キー マネージャーをセットアップし、FS暗号化やその他の用途に使用できます。
プロセスのある時点で、DDは、KMIPサーバーが自身を認証するために使用する証明書の署名に使用される認証局(CA)のルートに対応するパブリック証明書を要求します。
KMIP証明書がCAルートによって発行されていないが、中間CAによって発行された場合、中間CAのパブリック証明書はすべて、テキスト形式のPEM形式で連結されたDDに渡す必要があります。
この場合、信頼チェーンが正しいファイルであるにもかかわらず、DDはKMIPサーバーのSSL証明書を信頼できず、次のようなエラーがログ(ddfs.info/messages.engineering/kmip.log)に表示されます。
外部キー マネージャーのステータスがDD CLIから以下のように表示されている場合(filesys encryption key-manager show):
プロセスのある時点で、DDは、KMIPサーバーが自身を認証するために使用する証明書の署名に使用される認証局(CA)のルートに対応するパブリック証明書を要求します。
KMIP証明書がCAルートによって発行されていないが、中間CAによって発行された場合、中間CAのパブリック証明書はすべて、テキスト形式のPEM形式で連結されたDDに渡す必要があります。
この場合、信頼チェーンが正しいファイルであるにもかかわらず、DDはKMIPサーバーのSSL証明書を信頼できず、次のようなエラーがログ(ddfs.info/messages.engineering/kmip.log)に表示されます。
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
外部キー マネージャーのステータスがDD CLIから以下のように表示されている場合(filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
2023年3月の時点で、CLIとWeb UIのワークフローでは、DDOSはKMIPに対する複数のCA証明書のインポートを信頼できません。これは設計によるものです。
KMIPサーバー証明書がルートCAによって署名されていない場合、DDOSはチェーン内のすべての証明書の受け入れを拒否するため、DDはSSLを使用してKMIPサーバーに安全に接続できません。これは、KMIPサーバー証明書の発行者(中間)CAを信頼しないためです。
KMIPサーバー証明書がルートCAによって署名されていない場合、DDOSはチェーン内のすべての証明書の受け入れを拒否するため、DDはSSLを使用してKMIPサーバーに安全に接続できません。これは、KMIPサーバー証明書の発行者(中間)CAを信頼しないためです。
Résolution
対策 :
通常のCLIおよびWeb UIの外部でこの構成を実行するサポートについては、Dell Data Domainサポートにお問い合わせください。これにはダウンタイムは必要ありませんが、KMIPサーバーの信頼チェーンを持つファイルをシステム上に手動で構築できるように、BASHレベルのアクセスが必要です。
永続的な解決策:
この機能をDDOSに追加するターゲット リリースはありません。そのため、外部キー マネージャー用にKMIPを構成する際に、署名CAがrootでない場合は、CLIまたはWeb UIからすべての中間証明書をインポートできます。
通常のCLIおよびWeb UIの外部でこの構成を実行するサポートについては、Dell Data Domainサポートにお問い合わせください。これにはダウンタイムは必要ありませんが、KMIPサーバーの信頼チェーンを持つファイルをシステム上に手動で構築できるように、BASHレベルのアクセスが必要です。
永続的な解決策:
この機能をDDOSに追加するターゲット リリースはありません。そのため、外部キー マネージャー用にKMIPを構成する際に、署名CAがrootでない場合は、CLIまたはWeb UIからすべての中間証明書をインポートできます。
Produits concernés
Data DomainPropriétés de l’article
Numéro d’article: 000211676
Type d’article: Solution
Dernière modification: 19 juil. 2023
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.