Il processo di migrazione dell'appliance sfrutta il TLS reciproco (mTLS). Questo tipo di autenticazione reciproca viene utilizzato all'interno di un framework di sicurezza Zero Trust in cui non è considerato nulla per impostazione predefinita.
In un tipico scambio TLS, il server contiene il certificato TLS e la coppia di chiavi pubbliche e private. Il client verifica il certificato del server e quindi procede con lo scambio di informazioni in una sessione crittografata. Con mTLS, sia il client che il server verificano il certificato prima di iniziare a scambiare dati.
Qualsiasi appliance OpenManage Enterprise che utilizza un certificato firmato da terze parti deve caricare la catena di certificati prima di procedere con un'operazione di migrazione. Una catena di certificati è un elenco ordinato di certificati contenenti un certificato SSL/TLS e un certificato dell'autorità di certificazione (CA). La catena inizia con il certificato standalone e ogni certificato nella catena è firmato dall'entità identificata dal certificato successivo nella catena.
- Certificato = certificato firmato dalla CA (standalone)
- Catena di certificati = certificato firmato dalla CA + certificato CA intermedio (se presente) + certificato CA root
La catena di certificati deve soddisfare i seguenti requisiti, altrimenti l'amministratore visualizza errori.
Requisiti della catena di certificati per la migrazione
- Corrispondenza della chiave della richiesta di firma del certificato : durante il caricamento del certificato, la chiave CSR (richiesta di firma del certificato) è selezionata. OpenManage Enterprise supporta solo il caricamento dei certificati richiesti utilizzando la CSR (Certificate Signed Request) dall'appliance. Questo controllo di convalida viene eseguito durante un caricamento sia per un singolo certificato server che per una catena di certificati.
- Codifica del certificato : il file di certificato richiede la codifica Base 64. Quando si salva il certificato esportato dalla CA, assicurarsi che venga utilizzata la codifica Base 64, altrimenti il file di certificato viene considerato non valido.
- Convalida utilizzo chiavi avanzato certificato : verificare che l'utilizzo delle chiavi sia abilitato sia per l'autenticazione server che per l'autenticazione client. Ciò è dovuto al fatto che la migrazione è una comunicazione bidirezionale tra l'origine e la destinazione, in cui entrambi possono fungere da server e client durante lo scambio di informazioni. Per i certificati server singoli, è richiesta solo l'autenticazione del server.
- Il certificato è abilitato per la crittografia della chiave : il modello di certificato utilizzato per generare il certificato deve includere la crittografia della chiave. Ciò garantisce che le chiavi nel certificato possano essere utilizzate per crittografare la comunicazione.
- Catena di certificati con certificato radice : il certificato contiene la catena completa che include il certificato radice. Questa operazione è necessaria per l'origine e la destinazione per garantire che entrambe possano essere considerate attendibili. Il certificato radice viene aggiunto all'archivio radice attendibile di ogni appliance. IMPORTANTE: OpenManage Enterprise supporta un massimo di 10 certificati lead all'interno della catena di certificati.
- Issued to and issued by : il certificato radice viene utilizzato come trust anchor e quindi utilizzato per convalidare tutti i certificati nella catena rispetto a tale trust anchor. Assicurarsi che la catena di certificati includa il certificato radice.
Esempio di catena di certificati
Emesso per |
Emesso da |
OMENTO (apparecchio) |
Inter-CA1 |
Inter-CA1 |
CA radice |
CA radice |
CA radice |
Operazione di upload della catena di certificati
Una volta acquisita l'intera catena di certificati, l'amministratore di OpenManage Enterprise deve caricarla tramite l'interfaccia utente web - "Application Settings -> Security - Certificates".
Se il certificato non soddisfa i requisiti, nell'interfaccia utente web viene visualizzato uno dei seguenti errori:
- CGEN1008 - Impossibile elaborare la richiesta perché si è verificato un errore
- CSEC9002 - Impossibile caricare il certificato perché il file di certificato fornito non è valido.
Le sezioni seguenti evidenziano gli errori, i trigger condizionali e come correggerli.
CGEN1008 - Impossibile elaborare la richiesta perché si è verificato un errore.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
L'errore CGEN1008 viene visualizzato se viene soddisfatta una delle seguenti condizioni di errore:
- Chiave CSR non valida per la catena di certificati
- Assicurarsi che il certificato sia stato generato utilizzando la CSR dall'interfaccia utente web di OpenManage Enterprise. OpenManage Enterprise non supporta il caricamento di un certificato che non sia stato generato utilizzando la CSR dallo stesso appliance.
- Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Catena di certificati non valida
- I certificati delle CA intermedie e root devono essere inclusi nel certificato.
- Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- No Common Name found in the leaf certificate : tutti i certificati devono includere i nomi comuni e non contenere caratteri jolly (*).
NOTA: OpenManage Enterprise non supporta i certificati con caratteri jolly (*). La generazione di una CSR dall'interfaccia utente web utilizzando un carattere jolly (*) nel nome distinto genera il seguente errore:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- Nel certificato foglia non è presente alcun EKU (Extended Key Usage) per l'autenticazione client e server
- Il certificato deve includere l'autenticazione server e client per l'utilizzo esteso delle chiavi.
- Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Esaminare i dettagli del certificato per l'utilizzo avanzato delle chiavi. Se uno dei due è mancante, assicurarsi che il modello utilizzato per generare il certificato sia abilitato per entrambi.
- Crittografia della chiave mancante per l'utilizzo della chiave
- Il certificato sottoposto a caricamento deve avere la crittografia della chiave elencata per l'utilizzo della chiave.
- Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Esaminare i dettagli del certificato per l'utilizzo delle chiavi. Verificare che nel modello utilizzato per generare il certificato sia abilitata la crittografia delle chiavi.
CSEC9002 - Impossibile caricare il certificato perché il file di certificato fornito non è valido.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
L'errore CSEC9002 viene visualizzato se viene soddisfatta una delle seguenti condizioni di errore:
- Crittografia della chiave mancante del certificato del server
- Verificare che nel modello utilizzato per generare il certificato sia abilitata la crittografia delle chiavi. Quando si utilizza un certificato per la migrazione, assicurarsi che venga caricata l'intera catena di certificati anziché il singolo certificato del server.
- Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- Il file di certificato contiene una codifica errata
- Accertarsi che il file di certificato sia stato salvato utilizzando la codifica Base 64.
- Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Operazione di verifica della connessione di migrazione
Dopo aver caricato correttamente la catena di certificati, il processo di migrazione può procedere con il passaggio successivo: stabilire la connessione tra le console di origine e di destinazione. In questo passaggio, l'amministratore di OpenManage Enterprise fornisce l'indirizzo IP e le credenziali di amministratore locale per le console di origine e di destinazione.
Durante la convalida della connessione vengono controllati i seguenti elementi:
- Emesso a ed emesso da : i nomi delle autorità di certificazione nella catena tra i singoli certificati di origine e di destinazione hanno le stesse diciture "issued to" e "issued by". Se questi nomi non corrispondono, l'origine o la destinazione non possono verificare che le stesse autorità di firma abbiano emesso i certificati. Questo aspetto è fondamentale per aderire al framework di sicurezza Zero Trust.
Catena di certificati valida tra origine e destinazione
Certificato di origine |
|
|
Certificato di destinazione |
|
Emesso per |
Emesso da |
|
Emesso per |
Emesso da |
OMENTO-310 (fonte) |
Inter-CA1 |
<-> |
OMENTO-400 (bersaglio) |
Inter-CA1 |
Inter-CA1 |
CA radice |
<-> |
Inter-CA1 |
CA radice |
CA radice |
CA radice |
<-> |
CA radice |
CA radice |
Catena di certificati non valida tra origine e destinazione
Certificato di origine |
|
|
Certificato di destinazione |
|
Emesso per |
Emesso da |
|
Emesso per |
Emesso da |
OMENTO-310 (fonte) |
Inter-CA1 |
X rossa |
OMENTO-400 (bersaglio) |
Inter-CA2 |
Inter-CA1 |
CA radice |
X rossa |
Inter-CA2 |
CA radice |
CA radice |
CA radice |
<-> |
CA radice |
CA radice |
- Periodo di validità - Controlla il periodo di validità del certificato con la data e l'ora dell'appliance.
- Profondità massima : verificare che la catena di certificati non superi la profondità massima di 10 certificati foglia.
Se i certificati non soddisfano i requisiti di cui sopra, viene visualizzato il seguente errore quando si tenta di convalidare le connessioni della console:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Requisito di esclusione della catena di certificati
In caso di problemi continui che soddisfano i requisiti della catena di certificati, è possibile utilizzare un metodo supportato per sfruttare i certificati autofirmati. Procedere con l'utilizzo della funzione di backup e ripristino come descritto nel seguente articolo:
https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur