Data Domain: La configurazione di Gestione delle chiavi esterna (KMIP) non riesce quando è presente una catena di attendibilità per il certificato del server KMIP
Résumé: Quando si configura un gestore di chiavi esterno (KIMP), se l'attendibilità tra DD e il server KMIP avviene tramite una catena di attendibilità (il certificato KMIP non è emesso da una CA radice, ma da una CA intermedia), ciò non può essere configurato correttamente dalla CLI di DD o dall'interfaccia utente. ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
La CLI o l'interfaccia utente web può essere utilizzata per configurare un gestore di chiavi esterno utilizzando il protocollo KMIP, per la crittografia FS o altri utilizzi.
A un certo punto del processo, DD richiede il certificato pubblico corrispondente alla radice dell'autorità di certificazione (CA) utilizzata per firmare il certificato utilizzato dal server KMIP per eseguire l'autenticazione.
Se il certificato KMIP non è stato emesso dalla radice della CA, ma da una CA intermedia, tutti i certificati pubblici delle CA intermedie dovrebbero essere passati al DD concatenato in formato testuale PEM.
In questo caso, nonostante il file con la catena di attendibilità corretta, DD non riuscirà a considerare attendibile il certificato SSL del server KMIP e nei registri vengono visualizzati errori come quelli riportati di seguito (ddfs.info /messages.engineering / kmip.log):
Con lo stato di gestione delle chiavi esterno visualizzato di seguito dalla CLI DD (filesys encryption key-manager show):
A un certo punto del processo, DD richiede il certificato pubblico corrispondente alla radice dell'autorità di certificazione (CA) utilizzata per firmare il certificato utilizzato dal server KMIP per eseguire l'autenticazione.
Se il certificato KMIP non è stato emesso dalla radice della CA, ma da una CA intermedia, tutti i certificati pubblici delle CA intermedie dovrebbero essere passati al DD concatenato in formato testuale PEM.
In questo caso, nonostante il file con la catena di attendibilità corretta, DD non riuscirà a considerare attendibile il certificato SSL del server KMIP e nei registri vengono visualizzati errori come quelli riportati di seguito (ddfs.info /messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Con lo stato di gestione delle chiavi esterno visualizzato di seguito dalla CLI DD (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
A partire da marzo 2023, la CLI e il flusso di lavoro dell'interfaccia utente web sono tali che DDOS non consente l'importazione di più certificati CA per l'attendibilità di KMIP. Questa è la progettazione.
Se il certificato del server KMIP non è firmato dalla CA radice, DDOS rifiuta di accettare tutti i certificati nella catena, pertanto DD non può connettersi in modo sicuro al server KMIP utilizzando SSL, perché non considera attendibile la CA di emissione (intermedia) del certificato del server KMIP.
Se il certificato del server KMIP non è firmato dalla CA radice, DDOS rifiuta di accettare tutti i certificati nella catena, pertanto DD non può connettersi in modo sicuro al server KMIP utilizzando SSL, perché non considera attendibile la CA di emissione (intermedia) del certificato del server KMIP.
Résolution
Soluzione alternativa:
Contattare il supporto di DELL Data Domain per assistenza nell'esecuzione di questa configurazione al di fuori della normale INTERFACCIA a riga di comando e interfaccia utente web. Ciò non richiederà tempi di inattività, ma richiede l'accesso a livello BASH in modo che il file con la catena di attendibilità per il server KMIP possa essere costruito manualmente sul sistema.
Soluzione permanente:
non esiste una versione di destinazione per questa funzionalità da aggiungere a DDOS, pertanto, durante la configurazione di KMIP per i gestori di chiavi esterni, se la CA di firma non è quella root, tutti i certificati intermedi possono essere importati dalla CLI o dall'interfaccia utente web.
Contattare il supporto di DELL Data Domain per assistenza nell'esecuzione di questa configurazione al di fuori della normale INTERFACCIA a riga di comando e interfaccia utente web. Ciò non richiederà tempi di inattività, ma richiede l'accesso a livello BASH in modo che il file con la catena di attendibilità per il server KMIP possa essere costruito manualmente sul sistema.
Soluzione permanente:
non esiste una versione di destinazione per questa funzionalità da aggiungere a DDOS, pertanto, durante la configurazione di KMIP per i gestori di chiavi esterni, se la CA di firma non è quella root, tutti i certificati intermedi possono essere importati dalla CLI o dall'interfaccia utente web.
Produits concernés
Data DomainPropriétés de l’article
Numéro d’article: 000211676
Type d’article: Solution
Dernière modification: 19 juil. 2023
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.