Data Domain: Konfiguracja zewnętrznego menedżera kluczy (KMIP) kończy się niepowodzeniem, gdy istnieje łańcuch zaufania dla certyfikatu serwera KMIP
Résumé: Podczas konfigurowania zewnętrznego menedżera kluczy (KIMP), jeśli zaufanie między DD a serwerem KMIP odbywa się za pośrednictwem łańcucha zaufania (certyfikat KMIP nie jest wystawiany przez główny urząd certyfikacji, ale przez pośredni urząd certyfikacji), nie można go poprawnie skonfigurować z poziomu wiersza poleceń DD ani interfejsu użytkownika. ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Interfejs cli lub internetowy może być używany do konfigurowania zewnętrznego menedżera kluczy przy użyciu protokołu KMIP w celu szyfrowania FS lub innych zastosowań.
W pewnym momencie procesu DD prosi o podanie certyfikatu publicznego odpowiadającego głównemu urzędowi certyfikacji używanemu do podpisywania certyfikatu używanego przez serwer KMIP do uwierzytelniania.
Jeśli certyfikat KMIP nie został wystawiony przez urząd główny urzędu certyfikacji, ale przez pośredni urząd certyfikacji, wszystkie publiczne certyfikaty pośrednich urzędów certyfikacji musiałyby zostać przekazane do DD połączonej w tekstowym formularzu PEM.
W takim przypadku, mimo że plik z łańcuchem zaufania jest poprawny, DD nie będzie ufać certyfikatowi SSL serwera KMIP, a błędy takie jak poniżej będą widoczne w dziennikach (ddfs.info/messages.engineering / kmip.log):
Ze statusem zewnętrznego menedżera kluczy wyświetlanym poniżej w wierszu poleceń DD (pokaż menedżera kluczy szyfrowania filesys):
W pewnym momencie procesu DD prosi o podanie certyfikatu publicznego odpowiadającego głównemu urzędowi certyfikacji używanemu do podpisywania certyfikatu używanego przez serwer KMIP do uwierzytelniania.
Jeśli certyfikat KMIP nie został wystawiony przez urząd główny urzędu certyfikacji, ale przez pośredni urząd certyfikacji, wszystkie publiczne certyfikaty pośrednich urzędów certyfikacji musiałyby zostać przekazane do DD połączonej w tekstowym formularzu PEM.
W takim przypadku, mimo że plik z łańcuchem zaufania jest poprawny, DD nie będzie ufać certyfikatowi SSL serwera KMIP, a błędy takie jak poniżej będą widoczne w dziennikach (ddfs.info/messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Ze statusem zewnętrznego menedżera kluczy wyświetlanym poniżej w wierszu poleceń DD (pokaż menedżera kluczy szyfrowania filesys):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
Od marca 2023 r. cli i przepływ pracy interfejsu sieciowego są takie, że DDOS nie zezwala na importowanie wielu certyfikatów urzędu certyfikacji dla zaufania KMIP. Jest to z założenia.
Jeśli certyfikat serwera KMIP nie jest podpisany przez główny urząd certyfikacji, DDOS odmawia przyjęcia wszystkich certyfikatów w łańcuchu, dlatego DD nie może bezpiecznie połączyć się z serwerem KMIP przy użyciu SSL, ponieważ nie będzie ufać wystawcy certyfikatu serwera KMIP (pośredniemu) urządowi certyfikacji.
Jeśli certyfikat serwera KMIP nie jest podpisany przez główny urząd certyfikacji, DDOS odmawia przyjęcia wszystkich certyfikatów w łańcuchu, dlatego DD nie może bezpiecznie połączyć się z serwerem KMIP przy użyciu SSL, ponieważ nie będzie ufać wystawcy certyfikatu serwera KMIP (pośredniemu) urządowi certyfikacji.
Résolution
Obejście problemu:
skontaktuj się z działem pomocy technicznej DELL Data Domain, aby uzyskać pomoc w przeprowadzeniu tej konfiguracji poza zwykłym interfejsem CLI i internetowym interfejsem użytkownika. Nie będzie to wymagało przestoju, ale wymaga dostępu na poziomie BASH, aby plik z łańcuchem zaufania dla serwera KMIP mógł zostać utworzony ręcznie w systemie.
Trwałe rozwiązanie:
nie ma wersji docelowej dla tej funkcji, która ma zostać dodana do DDOS, dzięki czemu podczas konfigurowania KMIP dla zewnętrznych menedżerów kluczy, jeśli podpisujący urząd certyfikacji nie jest katalogiem głównym, wszystkie certyfikaty pośrednie mogą zostać zaimportowane z interfejsu wiersza poleceń lub interfejsu sieciowego.
skontaktuj się z działem pomocy technicznej DELL Data Domain, aby uzyskać pomoc w przeprowadzeniu tej konfiguracji poza zwykłym interfejsem CLI i internetowym interfejsem użytkownika. Nie będzie to wymagało przestoju, ale wymaga dostępu na poziomie BASH, aby plik z łańcuchem zaufania dla serwera KMIP mógł zostać utworzony ręcznie w systemie.
Trwałe rozwiązanie:
nie ma wersji docelowej dla tej funkcji, która ma zostać dodana do DDOS, dzięki czemu podczas konfigurowania KMIP dla zewnętrznych menedżerów kluczy, jeśli podpisujący urząd certyfikacji nie jest katalogiem głównym, wszystkie certyfikaty pośrednie mogą zostać zaimportowane z interfejsu wiersza poleceń lub interfejsu sieciowego.
Produits concernés
Data DomainPropriétés de l’article
Numéro d’article: 000211676
Type d’article: Solution
Dernière modification: 19 juil. 2023
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.