Passer au contenu principal
Quitter

Bienvenue dans l’univers Dell

Mon compte
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Profitez de récompenses et de remises réservées aux membres
  • Créez et accédez à une liste de vos produits
  • Gérer vos sites, vos produits et vos contacts au niveau des produits Dell EMC à l’aide de la rubrique Gestion des informations de l’entreprise.
Se connecter Créer un compte Connexion au compte Premier Connexion au programme de partenariat
Nous contacter

Vos paniers Dell.com

Numéro d’article: 000221202

Risoluzione dei problemi della catena di certificati necessari per la migrazione a OpenManage Enterprise

Résumé: Gli amministratori di OpenManage Enterprise possono incorrere in diversi errori durante la fase di caricamento della catena di certificati (CGEN1008 e CSEC9002) e di verifica della connessione. La seguente è una guida per aiutare gli amministratori di OpenManage Enterprise nel caso in cui si imbattano in errori durante questa fase del processo di migrazione. ...

Cet article a peut-être été traduit automatiquement. Si vous avez des commentaires concernant sa qualité, veuillez nous en informer en utilisant le formulaire au bas de cette page.

Contenu de l’article

Instructions

Il processo di migrazione dell'appliance sfrutta il TLS reciproco (mTLS). Questo tipo di autenticazione reciproca viene utilizzato all'interno di un framework di sicurezza Zero Trust in cui non è considerato nulla per impostazione predefinita.
 
In un tipico scambio TLS, il server contiene il certificato TLS e la coppia di chiavi pubbliche e private. Il client verifica il certificato del server e quindi procede con lo scambio di informazioni in una sessione crittografata. Con mTLS, sia il client che il server verificano il certificato prima di iniziare a scambiare dati.
Diagramma di comunicazione client e server mTLS 
Qualsiasi appliance OpenManage Enterprise che utilizza un certificato firmato da terze parti deve caricare la catena di certificati prima di procedere con un'operazione di migrazione. Una catena di certificati è un elenco ordinato di certificati contenenti un certificato SSL/TLS e un certificato dell'autorità di certificazione (CA). La catena inizia con il certificato standalone e ogni certificato nella catena è firmato dall'entità identificata dal certificato successivo nella catena.
  • Certificato = certificato firmato dalla CA (standalone)
  • Catena di certificati = certificato firmato dalla CA + certificato CA intermedio (se presente) + certificato CA root
La catena di certificati deve soddisfare i seguenti requisiti, altrimenti l'amministratore visualizza errori.
 

Requisiti della catena di certificati per la migrazione 

  1. Corrispondenza della chiave della richiesta di firma del certificato : durante il caricamento del certificato, la chiave CSR (richiesta di firma del certificato) è selezionata. OpenManage Enterprise supporta solo il caricamento dei certificati richiesti utilizzando la CSR (Certificate Signed Request) dall'appliance. Questo controllo di convalida viene eseguito durante un caricamento sia per un singolo certificato server che per una catena di certificati.
  2. Codifica del certificato : il file di certificato richiede la codifica Base 64. Quando si salva il certificato esportato dalla CA, assicurarsi che venga utilizzata la codifica Base 64, altrimenti il file di certificato viene considerato non valido.
  3. Convalida utilizzo chiavi avanzato certificato : verificare che l'utilizzo delle chiavi sia abilitato sia per l'autenticazione server che per l'autenticazione client. Ciò è dovuto al fatto che la migrazione è una comunicazione bidirezionale tra l'origine e la destinazione, in cui entrambi possono fungere da server e client durante lo scambio di informazioni. Per i certificati server singoli, è richiesta solo l'autenticazione del server.
  4. Il certificato è abilitato per la crittografia della chiave : il modello di certificato utilizzato per generare il certificato deve includere la crittografia della chiave. Ciò garantisce che le chiavi nel certificato possano essere utilizzate per crittografare la comunicazione.
  5. Catena di certificati con certificato radice : il certificato contiene la catena completa che include il certificato radice. Questa operazione è necessaria per l'origine e la destinazione per garantire che entrambe possano essere considerate attendibili. Il certificato radice viene aggiunto all'archivio radice attendibile di ogni appliance. IMPORTANTE: OpenManage Enterprise supporta un massimo di 10 certificati lead all'interno della catena di certificati.
  6. Issued to and issued by : il certificato radice viene utilizzato come trust anchor e quindi utilizzato per convalidare tutti i certificati nella catena rispetto a tale trust anchor. Assicurarsi che la catena di certificati includa il certificato radice.
Esempio di catena di certificati
Emesso per Emesso da
OMENTO (apparecchio) Inter-CA1
Inter-CA1 CA radice
CA radice CA radice


Operazione di upload della catena di certificati

Una volta acquisita l'intera catena di certificati, l'amministratore di OpenManage Enterprise deve caricarla tramite l'interfaccia utente web - "Application Settings -> Security - Certificates".
 
Se il certificato non soddisfa i requisiti, nell'interfaccia utente web viene visualizzato uno dei seguenti errori:
  • CGEN1008 - Impossibile elaborare la richiesta perché si è verificato un errore
  • CSEC9002 - Impossibile caricare il certificato perché il file di certificato fornito non è valido.
Le sezioni seguenti evidenziano gli errori, i trigger condizionali e come correggerli.

CGEN1008 - Impossibile elaborare la richiesta perché si è verificato un errore.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Errore di caricamento certificato CGEN1008 Impossibile elaborare la richiesta perché si è verificato un errore 
L'errore CGEN1008 viene visualizzato se viene soddisfatta una delle seguenti condizioni di errore:
  • Chiave CSR non valida per la catena di certificati
    • Assicurarsi che il certificato sia stato generato utilizzando la CSR dall'interfaccia utente web di OpenManage Enterprise. OpenManage Enterprise non supporta il caricamento di un certificato che non sia stato generato utilizzando la CSR dallo stesso appliance.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Catena di certificati non valida
    • I certificati delle CA intermedie e root devono essere inclusi nel certificato.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • No Common Name found in the leaf certificate : tutti i certificati devono includere i nomi comuni e non contenere caratteri jolly (*).
NOTA: OpenManage Enterprise non supporta i certificati con caratteri jolly (*). La generazione di una CSR dall'interfaccia utente web utilizzando un carattere jolly (*) nel nome distinto genera il seguente errore: 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Errore di caricamento certificato CGEN6002 Impossibile completare la richiesta perché manca il valore di input per DistinguishedName o perché è stato immesso un valore non valido 
  • Nel certificato foglia non è presente alcun EKU (Extended Key Usage) per l'autenticazione client e server
    • Il certificato deve includere l'autenticazione server e client per l'utilizzo esteso delle chiavi.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Esaminare i dettagli del certificato per l'utilizzo avanzato delle chiavi. Se uno dei due è mancante, assicurarsi che il modello utilizzato per generare il certificato sia abilitato per entrambi.
Dettagli del certificato che mostrano l'utilizzo avanzato delle chiavi per l'autenticazione server e client 
  • Crittografia della chiave mancante per l'utilizzo della chiave
    • Il certificato sottoposto a caricamento deve avere la crittografia della chiave elencata per l'utilizzo della chiave.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Esaminare i dettagli del certificato per l'utilizzo delle chiavi. Verificare che nel modello utilizzato per generare il certificato sia abilitata la crittografia delle chiavi.
Dettagli del certificato che mostrano l'utilizzo delle chiavi per la crittografia delle chiavi 
 

CSEC9002 - Impossibile caricare il certificato perché il file di certificato fornito non è valido.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Errore di caricamento del certificato CSEC9002 impossibile caricare il certificato perché il file di certificato fornito non è valido.
 
L'errore CSEC9002 viene visualizzato se viene soddisfatta una delle seguenti condizioni di errore: 
  • Crittografia della chiave mancante del certificato del server
    • Verificare che nel modello utilizzato per generare il certificato sia abilitata la crittografia delle chiavi. Quando si utilizza un certificato per la migrazione, assicurarsi che venga caricata l'intera catena di certificati anziché il singolo certificato del server.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Il file di certificato contiene una codifica errata
    • Accertarsi che il file di certificato sia stato salvato utilizzando la codifica Base 64.
    • Il seguente errore viene visualizzato nel registro dell'applicazione Tomcat che si trova nel pacchetto di registro della console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operazione di verifica della connessione di migrazione

Dopo aver caricato correttamente la catena di certificati, il processo di migrazione può procedere con il passaggio successivo: stabilire la connessione tra le console di origine e di destinazione. In questo passaggio, l'amministratore di OpenManage Enterprise fornisce l'indirizzo IP e le credenziali di amministratore locale per le console di origine e di destinazione.
 
Durante la convalida della connessione vengono controllati i seguenti elementi:
  • Emesso a ed emesso da : i nomi delle autorità di certificazione nella catena tra i singoli certificati di origine e di destinazione hanno le stesse diciture "issued to" e "issued by". Se questi nomi non corrispondono, l'origine o la destinazione non possono verificare che le stesse autorità di firma abbiano emesso i certificati. Questo aspetto è fondamentale per aderire al framework di sicurezza Zero Trust.
Catena di certificati valida tra origine e destinazione
Certificato di origine     Certificato di destinazione  
Emesso per Emesso da   Emesso per Emesso da
OMENTO-310 (fonte) Inter-CA1 <-> OMENTO-400 (bersaglio) Inter-CA1
Inter-CA1 CA radice <-> Inter-CA1 CA radice
CA radice CA radice <-> CA radice CA radice
 
 
Catena di certificati non valida tra origine e destinazione
Certificato di origine     Certificato di destinazione  
Emesso per Emesso da   Emesso per Emesso da
OMENTO-310 (fonte) Inter-CA1 X rossa OMENTO-400 (bersaglio) Inter-CA2
Inter-CA1 CA radice X rossa Inter-CA2 CA radice
CA radice CA radice <-> CA radice CA radice
 
  • Periodo di validità - Controlla il periodo di validità del certificato con la data e l'ora dell'appliance.
  • Profondità massima : verificare che la catena di certificati non superi la profondità massima di 10 certificati foglia.
Se i certificati non soddisfano i requisiti di cui sopra, viene visualizzato il seguente errore quando si tenta di convalidare le connessioni della console: 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Errore di convalida della connessione di migrazione: impossibile autenticarsi reciprocamente e connettersi all'appliance remoto. 

Requisito di esclusione della catena di certificati

In caso di problemi continui che soddisfano i requisiti della catena di certificati, è possibile utilizzare un metodo supportato per sfruttare i certificati autofirmati. Procedere con l'utilizzo della funzione di backup e ripristino come descritto nel seguente articolo:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

Propriétés de l’article

Produit concerné

Dell EMC OpenManage Enterprise

Dernière date de publication

25 avr. 2024

Version

3

Type d’article

How To

Haut de la page