Домен даних: Налаштування менеджера зовнішніх ключів (KMIP) не вдається, коли існує ланцюжок довіри до сертифіката сервера KMIP
Résumé: При налаштуванні менеджера зовнішніх ключів (KIMP), якщо довіра між DD і сервером KMIP здійснюється через ланцюжок довіри (сертифікат KMIP видається не кореневим ЦС, а проміжним ЦС), це не може бути належним чином налаштовано ні з DD CLI, ні з інтерфейсу користувача. ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
CLI або веб-інтерфейс можуть використовуватися для налаштування зовнішнього менеджера ключів за допомогою протоколу KMIP, для шифрування FS або інших цілей.
У якийсь момент процесу DD запитує публічний сертифікат, що відповідає кореню центру сертифікації (CA), який використовується для підпису сертифіката, який використовується сервером KMIP для автентифікації.
Якби сертифікат KMIP був виданий не коренем CA, а проміжним CA, всі публічні сертифікати проміжних CA повинні бути передані DD, об'єднані в текстову форму PEM.
У цьому випадку, незважаючи на те, що файл з ланцюжком довіри правильний, DD не довірятиме сертифікату SSL сервера KMIP, і такі помилки, як показано нижче, будуть помічені в журналах (ddfs.info / messages.engineering / kmip.log):
Зі статусом менеджера зовнішніх ключів, показаним, як показано нижче, з командного рядка DD (файловий менеджер ключів шифрування fileys показує):
У якийсь момент процесу DD запитує публічний сертифікат, що відповідає кореню центру сертифікації (CA), який використовується для підпису сертифіката, який використовується сервером KMIP для автентифікації.
Якби сертифікат KMIP був виданий не коренем CA, а проміжним CA, всі публічні сертифікати проміжних CA повинні бути передані DD, об'єднані в текстову форму PEM.
У цьому випадку, незважаючи на те, що файл з ланцюжком довіри правильний, DD не довірятиме сертифікату SSL сервера KMIP, і такі помилки, як показано нижче, будуть помічені в журналах (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Зі статусом менеджера зовнішніх ключів, показаним, як показано нижче, з командного рядка DD (файловий менеджер ключів шифрування fileys показує):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
Станом на березень 2023 року робочий процес CLI та веб-інтерфейсу такий, що DDOS не дозволяє імпортувати кілька сертифікатів CA для довіри KMIP. Це за задумом.
Коли сертифікат сервера KMIP не підписаний кореневим ЦС, DDOS відмовляється приймати всі сертифікати в ланцюжку, отже, DD не може безпечно підключитися до сервера KMIP за допомогою SSL, оскільки він не довірятиме емітенту сертифіката сервера KMIP (проміжний) ЦС.
Коли сертифікат сервера KMIP не підписаний кореневим ЦС, DDOS відмовляється приймати всі сертифікати в ланцюжку, отже, DD не може безпечно підключитися до сервера KMIP за допомогою SSL, оскільки він не довірятиме емітенту сертифіката сервера KMIP (проміжний) ЦС.
Résolution
Спосіб вирішення:
Зверніться до служби підтримки домену даних DELL, щоб отримати допомогу у виконанні цієї конфігурації поза звичайним командним рядком та веб-інтерфейсом. Це не вимагатиме простоїв, але потребує доступу на рівні BASH, щоб файл з ланцюжком довіри для сервера KMIP міг бути побудований вручну в системі.
Постійне рішення:
Не існує цільового випуску для додавання цієї функціональності до DDOS, так що при налаштуванні KMIP для зовнішніх менеджерів ключів, якщо підпис ЦС не є кореневим, всі проміжні сертифікати можуть бути імпортовані з командного рядка або веб-інтерфейсу.
Зверніться до служби підтримки домену даних DELL, щоб отримати допомогу у виконанні цієї конфігурації поза звичайним командним рядком та веб-інтерфейсом. Це не вимагатиме простоїв, але потребує доступу на рівні BASH, щоб файл з ланцюжком довіри для сервера KMIP міг бути побудований вручну в системі.
Постійне рішення:
Не існує цільового випуску для додавання цієї функціональності до DDOS, так що при налаштуванні KMIP для зовнішніх менеджерів ключів, якщо підпис ЦС не є кореневим, всі проміжні сертифікати можуть бути імпортовані з командного рядка або веб-інтерфейсу.
Produits concernés
Data DomainPropriétés de l’article
Numéro d’article: 000211676
Type d’article: Solution
Dernière modification: 19 juil. 2023
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.