O processo de migração do equipamento aproveita o TLS mútuo (mTLS). Esse tipo de autenticação mútua é usado em uma estrutura de segurança Zero Trust em que nada é confiável por padrão.
Em uma troca TLS típica, o servidor mantém o certificado TLS e o par de chaves pública e privada. O client verifica o certificado do servidor e, em seguida, prossegue com a troca de informações em uma sessão criptografada. Com o mTLS, tanto o client quanto o servidor verificam o certificado antes de começarem a trocar quaisquer dados.
Qualquer equipamento OpenManage Enterprise que aproveite um certificado assinado de terceiros é necessário para carregar a cadeia de certificados antes de prosseguir com uma operação de migração. Uma cadeia de certificados é uma lista ordenada de certificados que contém um certificado SSL/TLS e certificados de autoridade de certificação (CA). A cadeia começa com o certificado independente, e cada certificado na cadeia é assinado pela entidade identificada pelo próximo certificado na cadeia.
- Certificado = certificado assinado pela CA (independente)
- Cadeia de certificados = certificado assinado pela CA + certificado de CA intermediário (se houver) + certificado raiz da CA
A cadeia de certificados deve atender aos seguintes requisitos, caso contrário, o administrador apresentará erros.
Requisitos da cadeia de certificados para migração
- A chave de solicitação de assinatura de certificado corresponde : durante o carregamento do certificado, a chave de solicitação de assinatura de certificado (CSR) é verificada. O OpenManage Enterprise só dá suporte ao upload de certificados solicitados por meio da solicitação assinada por esse equipamento usando a solicitação assinada por certificado. Essa verificação de validação é realizada durante um carregamento de um único certificado de servidor e de uma cadeia de certificados.
- Codificação de certificado - O arquivo de certificado requer codificação de base 64. Certifique-se de que, ao salvar o certificado exportado da autoridade de certificação, a codificação Base 64 seja usada, caso contrário, o arquivo de certificado será considerado inválido.
- Validate certificate enhanced key usage — verifique se o uso da chave está habilitado para autenticação de servidor e autenticação de client. Isso ocorre porque a migração é uma comunicação bidirecional entre a origem e o destino, em que qualquer um pode atuar como servidor e client durante a troca de informações. Para certificados de servidor único, somente a autenticação do servidor é necessária.
- O certificado está habilitado para criptografia de chave - O modelo de certificado usado para gerar o certificado deve incluir criptografia de chave. Isso garante que as chaves no certificado possam ser usadas para criptografar a comunicação.
- Cadeia de certificados com certificado raiz - O certificado contém a cadeia completa que inclui o certificado raiz. Isso é necessário para que a origem e o destino sejam confiáveis. O certificado raiz é adicionado ao armazenamento raiz confiável de cada equipamento. IMPORTANTE: O OpenManage Enterprise oferece suporte a um máximo de 10 certificados de lead dentro da cadeia de certificados.
- Issued to e issued by — O certificado raiz é usado como âncora de confiança e, em seguida, é usado para validar todos os certificados da cadeia em relação a essa âncora de confiança. Certifique-se de que a cadeia de certificados inclua o certificado raiz.
Cadeia de certificados de exemplo
Emitido para |
Emitido por |
OMENT (equipamento) |
Inter-CA1 |
Inter-CA1 |
CA raiz |
CA raiz |
CA raiz |
Operação de carregamento da cadeia de certificados
Depois que toda a cadeia de certificados for adquirida, o administrador do OpenManage Enterprise deverá fazer upload da cadeia pela interface do usuário da Web - "Configurações do aplicativo -> Segurança - Certificados".
Se o certificado não atender aos requisitos, um dos seguintes erros será exibido na IU da Web:
- CGEN1008 — Não foi possível processar a solicitação devido a um erro
- CSEC9002 - Não é possível carregar o certificado porque o arquivo de certificado fornecido é inválido.
As seções a seguir destacam os erros, os gatilhos condicionais e como corrigir.
CGEN1008 - Não foi possível processar a solicitação porque ocorreu um erro.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
O
erro CGEN1008 será exibido se qualquer uma das seguintes condições de erro for atendida:
- Chave CSR inválida para a cadeia de certificados
- Certifique-se de que o certificado foi gerado usando a CSR da interface do usuário da Web do OpenManage Enterprise. O OpenManage Enterprise não dá suporte ao carregamento de um certificado que não foi gerado usando a CSR do mesmo equipamento.
- O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Cadeia de certificados inválida
- Os certificados da raiz e de todas as autoridades de certificação intermediárias devem ser incluídos no certificado.
- O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Nenhum nome comum encontrado no certificado leaf — todos os certificados devem incluir os nomes comuns e não conter caracteres curinga (*).
Nota: O OpenManage Enterprise não é compatível com certificados curinga (*). A geração de uma CSR a partir da interface do usuário da Web usando um caractere-curinga (*) no nome distinto gera o seguinte erro:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- Nenhum EKU (Extended Key Usage, uso estendido de chave) de autenticação de client e servidor está presente no certificado leaf
- O certificado deve incluir autenticação de servidor e client para uso estendido de chave.
- O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Analise os detalhes do certificado para aprimorar o uso da chave. Se algum deles estiver ausente, certifique-se de que o modelo usado para gerar o certificado esteja habilitado para ambos.
- Codificação de chave ausente para uso de chave
- O certificado que está sendo carregado deve ter a codificação da chave listada para uso da chave.
- O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Analise os detalhes do certificado quanto ao uso da chave. Certifique-se de que o modelo usado para gerar o certificado tenha a codificação de chaves ativada.
CSEC9002 - Não é possível carregar o certificado porque o arquivo de certificado fornecido é inválido.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
O erro CSEC9002 é exibido se qualquer uma das seguintes condições de erro for atendida:
- Codificação de chave ausente do certificado do servidor
- Certifique-se de que o modelo usado para gerar o certificado tenha a codificação de chaves ativada. Ao aproveitar um certificado para migração, certifique-se de que a cadeia de certificados completa seja carregada, em vez do certificado de servidor único.
- O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- O arquivo de certificado contém codificação incorreta
- Certifique-se de que o arquivo de certificado foi salvo usando a codificação Base 64.
- O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Operação de verificação da conexão de migração
Depois de carregar a cadeia de certificados com sucesso, o processo de migração pode prosseguir com a próxima etapa: estabelecer conexão entre os consoles de origem e de destino. Nesta etapa, o administrador do OpenManage Enterprise fornece o endereço IP e as credenciais de administrador local para os consoles de origem e destino.
Os itens a seguir são verificados ao validar a conexão:
- Emitido para e emitido por - Os nomes das autoridades de certificação na cadeia entre cada um dos certificados de origem e de destino têm os mesmos termos «emitido para» e «emitido por». Se esses nomes não corresponderem, a origem ou o destino não poderá verificar se as mesmas autoridades de assinatura emitiram os certificados. Isso é crucial para aderir à estrutura de segurança Zero Trust.
Cadeia de certificados válida entre origem e destino
Certificado de origem |
|
|
Certificado de destino |
|
Emitido para |
Emitido por |
|
Emitido para |
Emitido por |
OMENT-310 (fonte) |
Inter-CA1 |
<-> |
OMENT-400 (alvo) |
Inter-CA1 |
Inter-CA1 |
CA raiz |
<-> |
Inter-CA1 |
CA raiz |
CA raiz |
CA raiz |
<-> |
CA raiz |
CA raiz |
Cadeia de certificados inválida entre origem e destino
Certificado de origem |
|
|
Certificado de destino |
|
Emitido para |
Emitido por |
|
Emitido para |
Emitido por |
OMENT-310 (fonte) |
Inter-CA1 |
X |
OMENT-400 (alvo) |
Inter-CA2 |
Inter-CA1 |
CA raiz |
X |
Inter-CA2 |
CA raiz |
CA raiz |
CA raiz |
<-> |
CA raiz |
CA raiz |
- Período de validade - verifica o período de validade do certificado com a data e a hora do equipamento.
- Profundidade máxima - verifique se a cadeia de certificados não excede a profundidade máxima de certificados folha de 10 folhas.
Se os certificados não atenderem aos requisitos acima, o seguinte erro será exibido ao tentar validar as conexões do console:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Ignorar o requisito de cadeia de certificados
Se houver problemas contínuos para atender aos requisitos da cadeia de certificados, há um método compatível que pode ser usado para aproveitar os certificados autoassinados. Continue aproveitando o recurso de backup e restauração, conforme descrito no seguinte artigo:
https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur