Data Domain: Konfigurering av KMIP (External Key Manager) mislykkes når det finnes en klareringskjede for KMIP-serversertifikatet
Résumé: Når du konfigurerer en ekstern nøkkelbehandling (PSTP), hvis klarering mellom DD og KMIP-serveren er gjennom en klareringskjede (KMIP-sertifikatet utstedes ikke av en rot-CA, men av en mellomliggende CA), kan ikke dette konfigureres på riktig måte fra enten DD CLI eller brukergrensesnittet. ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
CLI- eller webgrensesnittet kan brukes til å konfigurere en ekstern nøkkelbehandling ved hjelp av KMIP-protokollen, for FS-kryptering eller annen bruk.
På et tidspunkt i prosessen ber DD om det offentlige sertifikatet som samsvarer med roten til sertifiseringsinstansen (CA), som brukes til å signere for sertifikatet som brukes av KMIP-serveren til å godkjenne seg selv.
Hvis KMIP-sertifikatet ikke ble utstedt av CA-roten, men av en mellomliggende CA, måtte alle de offentlige sertifikatene for mellomliggende CAS-er sendes til DD-koncatenated i tekstlig PEM-skjema.
I dette tilfellet, til tross for at filen med klareringskjeden er riktig, klarer ikke DD KMIP-serverens SSL-sertifikat, og feil som nedenfor vil ses i loggene (ddfs.info /messages.engineering / kmip.log):
Status for ekstern nøkkelbehandling vises som nedenfor fra DD CLI (filesys encryption key-manager show):
På et tidspunkt i prosessen ber DD om det offentlige sertifikatet som samsvarer med roten til sertifiseringsinstansen (CA), som brukes til å signere for sertifikatet som brukes av KMIP-serveren til å godkjenne seg selv.
Hvis KMIP-sertifikatet ikke ble utstedt av CA-roten, men av en mellomliggende CA, måtte alle de offentlige sertifikatene for mellomliggende CAS-er sendes til DD-koncatenated i tekstlig PEM-skjema.
I dette tilfellet, til tross for at filen med klareringskjeden er riktig, klarer ikke DD KMIP-serverens SSL-sertifikat, og feil som nedenfor vil ses i loggene (ddfs.info /messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Status for ekstern nøkkelbehandling vises som nedenfor fra DD CLI (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
Fra og med mars 2023 er cli- og webgrensesnittarbeidsflyten slik at DDOS ikke tillater import av flere CA-sertifikater som KMIP kan klarere. Dette er designet.
Når KMIP-serversertifikatet ikke er signert av rot-CA, nekter DDOS å godta alle sertifikater i kjeden, og dermed kan ikke DD kobles trygt til KMIP-serveren ved hjelp av SSL, fordi det ikke vil klarere KMIP-serversertifikatets utsteder (mellomliggende) CA.
Når KMIP-serversertifikatet ikke er signert av rot-CA, nekter DDOS å godta alle sertifikater i kjeden, og dermed kan ikke DD kobles trygt til KMIP-serveren ved hjelp av SSL, fordi det ikke vil klarere KMIP-serversertifikatets utsteder (mellomliggende) CA.
Résolution
Midlertidig løsning:
Kontakt DELL Data Domain Support for å få hjelp til å utføre denne konfigurasjonen utenfor det vanlige CLI- og webgrensesnittet. Dette krever ingen nedetid, men trenger tilgang på BASH-nivå, slik at filen med klareringskjeden for KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Hvis signerings-CA ikke er rotversjonen, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet når du konfigurerer KMIP for eksterne nøkkeladministratorer. Hvis signerings-CA ikke er rotnummeret, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet.
Kontakt DELL Data Domain Support for å få hjelp til å utføre denne konfigurasjonen utenfor det vanlige CLI- og webgrensesnittet. Dette krever ingen nedetid, men trenger tilgang på BASH-nivå, slik at filen med klareringskjeden for KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Hvis signerings-CA ikke er rotversjonen, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet når du konfigurerer KMIP for eksterne nøkkeladministratorer. Hvis signerings-CA ikke er rotnummeret, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet.
Produits concernés
Data DomainPropriétés de l’article
Numéro d’article: 000211676
Type d’article: Solution
Dernière modification: 19 juil. 2023
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.