Passer au contenu principal
Quitter

Bienvenue dans l’univers Dell

Mon compte
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Profitez de récompenses et de remises réservées aux membres
  • Créez et accédez à une liste de vos produits
  • Gérer vos sites, vos produits et vos contacts au niveau des produits Dell EMC à l’aide de la rubrique Gestion des informations de l’entreprise.
Se connecter Créer un compte Connexion au compte Premier Connexion au programme de partenariat
Nous contacter

Vos paniers Dell.com

Numéro d’article: 000221202

Dépannage des problèmes de chaîne de certificats requis pour OpenManage Enterprise Migration

Résumé: Les administrateurs OpenManage Enterprise peuvent rencontrer plusieurs erreurs au cours de la phase de téléchargement de la chaîne de certificats (CGEN1008 et CSEC9002) et de vérification de la connexion. Voici un guide pour aider les administrateurs OpenManage Enterprise au cas où ils rencontreraient des erreurs au cours de cette étape du processus de migration. ...

Cet article a peut-être été traduit automatiquement. Si vous avez des commentaires concernant sa qualité, veuillez nous en informer en utilisant le formulaire au bas de cette page.

Contenu de l’article

Instructions

Le processus de migration de l’appliance utilise le protocole TLS mutuel (mTLS). Ce type d’authentification mutuelle est utilisé dans un cadre de sécurité Zero-Trust où rien n’est approuvé par défaut.
 
Dans un échange TLS classique, le serveur détient le certificat TLS et la paire de clés publique/privée. Le client vérifie le certificat du serveur, puis procède à l’échange d’informations via une session chiffrée. Avec le protocole mTLS, le client et le serveur vérifient le certificat avant de commencer à échanger des données.
Schéma de communication client-serveur mTLS 
Toute appliance OpenManage Enterprise qui tire parti d’un certificat signé par un tiers doit télécharger la chaîne de certificats avant de procéder à une opération de migration. Une chaîne de certificats est une liste ordonnée de certificats contenant un certificat SSL/TLS et des certificats d’autorité de certification (CA). La chaîne commence par le certificat autonome, et chaque certificat de la chaîne est signé par l’entité identifiée par le certificat suivant de la chaîne.
  • Certificat = certificat signé par une autorité de certification (autonome)
  • Chaîne de certificat = certificat signé par une autorité de certification + certificat d’autorité de certification intermédiaire (le cas échéant) + certificat d’autorité de certification racine
La chaîne de certificats doit répondre aux exigences suivantes, faute de quoi l’administrateur se verra présenter des erreurs.
 

Exigences relatives à la chaîne de certificats pour la migration 

  1. Correspondances de clé de requête de signature de certificat : lors du téléchargement du certificat, la clé de demande de signature de certificat (CSR) est cochée. OpenManage Enterprise prend uniquement en charge le téléchargement des certificats demandés à l’aide de la demande de signature de certificat (CSR) par cette appliance. Cette vérification de validation est effectuée lors d’un téléchargement pour un seul certificat de serveur et pour une chaîne de certificats.
  2. Codage du certificat : le fichier de certificat nécessite un codage Base 64. Assurez-vous que le codage Base 64 est utilisé lors de l’enregistrement du certificat exporté à partir de l’autorité de certification. Sinon, le fichier de certificat est considéré comme non valide.
  3. Valider l’utilisation améliorée de la clé par le certificat : assurez-vous que l’utilisation de la clé est activée pour l’authentification du serveur et l’authentification du client. En effet, la migration est une communication bidirectionnelle entre la source et la cible, où l’un ou l’autre peut agir en tant que serveur et client pendant l’échange d’informations. Pour les certificats de serveur unique, seule l’authentification du serveur est requise.
  4. Le certificat est activé pour le chiffrement de clé : le modèle de certificat utilisé pour générer le certificat doit inclure le chiffrement de clé. Cela garantit que les clés du certificat peuvent être utilisées pour chiffrer les communications.
  5. Chaîne de certificats avec certificat racine : le certificat contient la chaîne complète qui inclut le certificat racine. Cela est nécessaire pour la source et la cible afin de garantir qu’elles sont toutes deux fiables. Le certificat racine est ajouté au magasin racine de confiance de chaque appliance. IMPORTANT : OpenManage Enterprise prend en charge un maximum de 10 certificats maîtres dans la chaîne de certificats.
  6. Émis à et émis par : le certificat racine est utilisé comme ancre d’approbation, puis utilisé pour valider tous les certificats de la chaîne par rapport à cette ancre d’approbation. Assurez-vous que la chaîne de certificats inclut le certificat racine.
Exemple de chaîne de certificats
Délivré à Émis par
OMENT (appareil) Inter-CA1
Inter-CA1 Racine-CA
Racine-CA Racine-CA


Opération de téléchargement de chaîne de certificats

Une fois la chaîne de certificats complète acquise, l’administrateur OpenManage Enterprise doit la télécharger via l’interface utilisateur Web : « Paramètres d’application -> Sécurité - Certificats ».
 
Si le certificat ne répond pas aux exigences, l’une des erreurs suivantes s’affiche dans l’interface utilisateur Web :
  • CGEN1008 - Impossible de traiter la demande en raison d’une erreur
  • CSEC9002 : impossible de charger le certificat, car le fichier de certificat fourni n’est pas valide.
Les sections suivantes mettent en évidence les erreurs, les déclencheurs conditionnels et la procédure de correction.

CGEN1008 - Impossible de traiter la demande car une erreur s’est produite.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Erreur de téléchargement du certificat CGEN1008 Impossible de traiter la demande car une erreur s’est produite 
L’erreur CGEN1008 s’affiche si l’une des conditions d’erreur suivantes est remplie :
  • Clé CSR non valide pour la chaîne de certificats
    • Assurez-vous que le certificat a été généré à l’aide de la CSR à partir de l’interface utilisateur Web d’OpenManage Enterprise. OpenManage Enterprise ne prend pas en charge le téléchargement d’un certificat qui n’a pas été généré à l’aide de la CSR à partir de la même appliance.
    • L’erreur suivante s’affiche dans le journal de l’application Tomcat situé dans le bundle de logs de la console :
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Chaîne de certificats non valide
    • Le certificat racine et tous les certificats des autorités de certification intermédiaires doivent être inclus dans le certificat.
    • L’erreur suivante s’affiche dans le journal de l’application Tomcat situé dans le bundle de logs de la console :
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Aucun nom commun trouvé dans le certificat feuille : tous les certificats doivent inclure les noms communs et ne pas contenir de caractères génériques (*).
Remarque : OpenManage Enterprise ne prend pas en charge les certificats génériques (*). La génération d’une CSR à partir de l’interface utilisateur Web à l’aide d’un caractère générique (*) dans le nom unique génère l’erreur suivante : 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Erreur de téléchargement du certificat CGEN6002 Impossible de terminer la demande car la valeur d’entrée pour DistinguishedName est manquante ou une valeur non valide a été saisie 
  • Aucune utilisation étendue de clé (EKU) d’authentification client et serveur n’est présente dans le certificat leaf
    • Le certificat doit inclure à la fois l’authentification du serveur et du client pour l’utilisation étendue de la clé.
    • L’erreur suivante s’affiche dans le journal de l’application Tomcat situé dans le bundle de logs de la console :
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Passez en revue les détails du certificat pour une utilisation améliorée des clés. Si l’un ou l’autre est manquant, assurez-vous que le modèle utilisé pour générer le certificat est activé pour les deux.
Détails du certificat montrant une utilisation améliorée des clés pour l’authentification du serveur et du client 
  • Chiffrement de clé manquant pour l’utilisation des clés
    • Le chiffrement de clé doit être répertorié dans le certificat en cours de téléchargement pour l’utilisation de la clé.
    • L’erreur suivante s’affiche dans le journal de l’application Tomcat situé dans le bundle de logs de la console :
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Passez en revue les détails du certificat pour l’utilisation de la clé. Assurez-vous que le chiffrement de clé est activé dans le modèle utilisé pour générer le certificat.
Détails du certificat indiquant l’utilisation des clés pour le chiffrement des clés 
 

CSEC9002 : impossible de charger le certificat, car le fichier de certificat fourni n’est pas valide.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Erreur de téléchargement du certificat CSEC9002 Impossible de télécharger le certificat, car le fichier de certificat fourni n’est pas valide.
 
L’erreur CSEC9002 s’affiche si l’une des conditions d’erreur suivantes est remplie : 
  • Chiffrement de clé manquant pour le certificat de serveur
    • Assurez-vous que le chiffrement de clé est activé dans le modèle utilisé pour générer le certificat. Lorsque vous utilisez un certificat pour la migration, assurez-vous que c’est la chaîne de certificats complète qui est chargée, et non le certificat de serveur unique.
    • L’erreur suivante s’affiche dans le journal de l’application Tomcat situé dans le bundle de logs de la console :
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Le fichier de certificat contient un codage incorrect
    • Assurez-vous que le fichier de certificat a été enregistré à l’aide du codage Base 64.
    • L’erreur suivante s’affiche dans le journal de l’application Tomcat situé dans le bundle de logs de la console :
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Opération de vérification de la connexion de migration

Une fois la chaîne de certificats téléchargée, le processus de migration peut passer à l’étape suivante : établir la connexion entre les consoles source et cible. Au cours de cette étape, l’administrateur OpenManage Enterprise fournit l’adresse IP et les informations d’identification de l’administrateur local pour les consoles source et cible.
 
Les éléments suivants sont vérifiés lors de la validation de la connexion :
  • Émis à et émis par : les noms des autorités de certification dans la chaîne entre chaque certificat source et cible ont les mêmes termes « délivré à » et « émis par ». Si ces noms ne correspondent pas, la source ou la cible ne peut pas vérifier que les mêmes autorités signataires ont émis les certificats. C’est essentiel pour respecter le cadre de sécurité Zero-Trust.
Chaîne de certificats valide entre la source et la cible
Certificat source     Certificat cible  
Délivré à Émis par   Délivré à Émis par
OMENT-310 (source) Inter-CA1 <-> OMENT-400 (cible) Inter-CA1
Inter-CA1 Racine-CA <-> Inter-CA1 Racine-CA
Racine-CA Racine-CA <-> Racine-CA Racine-CA
 
 
Chaîne de certificats non valide entre la source et la cible
Certificat source     Certificat cible  
Délivré à Émis par   Délivré à Émis par
OMENT-310 (source) Inter-CA1 X OMENT-400 (cible) Inter-CA2
Inter-CA1 Racine-CA X Inter-CA2 Racine-CA
Racine-CA Racine-CA <-> Racine-CA Racine-CA
 
  • Période de validité : vérifie la période de validité du certificat avec la date et l’heure de l’appliance.
  • Profondeur maximale : vérifiez que la chaîne de certificats ne dépasse pas la profondeur maximale de 10 certificats feuilles.
Si les certificats ne répondent pas aux exigences ci-dessus, l’erreur suivante s’affiche lors de la tentative de validation des connexions de la console : 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Erreur de validation de la connexion de migration : impossible de s’authentifier mutuellement et de se connecter à l’appliance distante. 

Contourner les exigences relatives à la chaîne de certificats

S’il existe toujours des problèmes répondant aux exigences de la chaîne de certificats, une méthode prise en charge peut être utilisée pour tirer parti des certificats auto-signés. Procédez à l’utilisation de la fonctionnalité de sauvegarde et de restauration comme indiqué dans l’article suivant :

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

Propriétés de l’article

Produit concerné

Dell EMC OpenManage Enterprise

Dernière date de publication

25 avr. 2024

Version

3

Type d’article

How To

Haut de la page