Data Domain. Настройка внешнего диспетчера ключей (KMIP) завершается сбоем при наличии цепочки доверия для сертификата сервера KMIP
Résumé: Если при настройке внешнего диспетчера ключей (KIMP) доверие между DD и сервером KMIP обеспечивается посредством цепочки доверия (сертификат KMIP выдается не корневым ЦС, а промежуточным ЦС), это не может быть правильно настроено либо из интерфейса командной строки DD, либо из пользовательского интерфейса. ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Интерфейс командной строки или веб-интерфейс можно использовать для настройки внешнего диспетчера ключей с использованием протокола KMIP, для шифрования файловой системы или других сценариев использования.
В какой-то момент процесса DD запрашивает общедоступный сертификат, соответствующий корневому каталогу центра сертификации (CA), который используется для подписи сертификата, используемого сервером KMIP для самотестирования.
Если сертификат KMIP был выдатирован не корнем ЦС, а промежуточным ЦС, все публичные сертификаты промежуточных ЦС должны быть переданы в DD, объединенную в текстовую форму PEM.
В этом случае, несмотря на правильность файла с цепочкой доверия, DD не будет доверять сертификату SSL сервера KMIP, и в журналах будут отображаться ошибки, подобные приведенным ниже (ddfs.info / messages.engineering / kmip.log):
Состояние внешнего диспетчера ключей отображается, как показано ниже, из интерфейса командной строки DD (filesys encryption key-manager show):
В какой-то момент процесса DD запрашивает общедоступный сертификат, соответствующий корневому каталогу центра сертификации (CA), который используется для подписи сертификата, используемого сервером KMIP для самотестирования.
Если сертификат KMIP был выдатирован не корнем ЦС, а промежуточным ЦС, все публичные сертификаты промежуточных ЦС должны быть переданы в DD, объединенную в текстовую форму PEM.
В этом случае, несмотря на правильность файла с цепочкой доверия, DD не будет доверять сертификату SSL сервера KMIP, и в журналах будут отображаться ошибки, подобные приведенным ниже (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Состояние внешнего диспетчера ключей отображается, как показано ниже, из интерфейса командной строки DD (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Cause
По состоянию на март 2023 года рабочий процесс интерфейса командной строки и веб-интерфейса таков, что DDOS не позволяет импортировать несколько сертификатов ЦС для KMIP в доверие. Это разработка.
Если сертификат сервера KMIP не подписан корневым ЦС, DDOS отказывается принимать все сертификаты в цепочке, поэтому DD не может безопасно подключиться к серверу KMIP с использованием SSL, так как он не будет доверять ЦС-файлу сертификата сервера KMIP (промежуточный).
Если сертификат сервера KMIP не подписан корневым ЦС, DDOS отказывается принимать все сертификаты в цепочке, поэтому DD не может безопасно подключиться к серверу KMIP с использованием SSL, так как он не будет доверять ЦС-файлу сертификата сервера KMIP (промежуточный).
Résolution
Временное решение:Обратитесь в
службу поддержки Dell Data Domain за помощью в выполнении этой конфигурации за пределами обычного интерфейса командной строки и веб-интерфейса пользователя. Для этого не требуется простоев, но требуется доступ на уровне BASH, чтобы файл с цепочкой доверия для сервера KMIP можно было вручную со встроенной системой.
Окончательное решение.Нет
целевого выпуска для этой функции, которую необходимо добавить в DDOS, поэтому при настройке KMIP для внешних диспетчеров ключей, если ЦС подписи не является корневым, все промежуточные сертификаты можно импортировать из интерфейса командной строки или веб-интерфейса пользователя.
службу поддержки Dell Data Domain за помощью в выполнении этой конфигурации за пределами обычного интерфейса командной строки и веб-интерфейса пользователя. Для этого не требуется простоев, но требуется доступ на уровне BASH, чтобы файл с цепочкой доверия для сервера KMIP можно было вручную со встроенной системой.
Окончательное решение.Нет
целевого выпуска для этой функции, которую необходимо добавить в DDOS, поэтому при настройке KMIP для внешних диспетчеров ключей, если ЦС подписи не является корневым, все промежуточные сертификаты можно импортировать из интерфейса командной строки или веб-интерфейса пользователя.
Produits concernés
Data DomainPropriétés de l’article
Numéro d’article: 000211676
Type d’article: Solution
Dernière modification: 19 juil. 2023
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.