Passer au contenu principal
Quitter

Bienvenue dans l’univers Dell

Mon compte
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Profitez de récompenses et de remises réservées aux membres
  • Créez et accédez à une liste de vos produits
  • Gérer vos sites, vos produits et vos contacts au niveau des produits Dell EMC à l’aide de la rubrique Gestion des informations de l’entreprise.
Se connecter Créer un compte Connexion au compte Premier Connexion au programme de partenariat
Nous contacter

Vos paniers Dell.com

Numéro d’article: 000221202

Solução de problemas de cadeia de certificados necessários para a migração do OpenManage Enterprise

Résumé: Os administradores do OpenManage Enterprise podem encontrar vários erros durante o carregamento da cadeia de certificados (CGEN1008 e CSEC9002) e a etapa de verificação de conexão. Veja a seguir um guia para ajudar os administradores do OpenManage Enterprise caso eles encontrem erros durante essa fase do processo de migração. ...

Cet article a peut-être été traduit automatiquement. Si vous avez des commentaires concernant sa qualité, veuillez nous en informer en utilisant le formulaire au bas de cette page.

Contenu de l’article

Instructions

O processo de migração do equipamento aproveita o TLS mútuo (mTLS). Esse tipo de autenticação mútua é usado em uma estrutura de segurança Zero Trust em que nada é confiável por padrão.
 
Em uma troca TLS típica, o servidor mantém o certificado TLS e o par de chaves pública e privada. O client verifica o certificado do servidor e, em seguida, prossegue com a troca de informações em uma sessão criptografada. Com o mTLS, tanto o client quanto o servidor verificam o certificado antes de começarem a trocar quaisquer dados.
Diagrama de comunicação de cliente e servidor mTLS 
Qualquer equipamento OpenManage Enterprise que aproveite um certificado assinado de terceiros é necessário para carregar a cadeia de certificados antes de prosseguir com uma operação de migração. Uma cadeia de certificados é uma lista ordenada de certificados que contém um certificado SSL/TLS e certificados de autoridade de certificação (CA). A cadeia começa com o certificado independente, e cada certificado na cadeia é assinado pela entidade identificada pelo próximo certificado na cadeia.
  • Certificado = certificado assinado pela CA (independente)
  • Cadeia de certificados = certificado assinado pela CA + certificado de CA intermediário (se houver) + certificado raiz da CA
A cadeia de certificados deve atender aos seguintes requisitos, caso contrário, o administrador apresentará erros.
 

Requisitos da cadeia de certificados para migração 

  1. A chave de solicitação de assinatura de certificado corresponde : durante o carregamento do certificado, a chave de solicitação de assinatura de certificado (CSR) é verificada. O OpenManage Enterprise só dá suporte ao upload de certificados solicitados por meio da solicitação assinada por esse equipamento usando a solicitação assinada por certificado. Essa verificação de validação é realizada durante um carregamento de um único certificado de servidor e de uma cadeia de certificados.
  2. Codificação de certificado - O arquivo de certificado requer codificação de base 64. Certifique-se de que, ao salvar o certificado exportado da autoridade de certificação, a codificação Base 64 seja usada, caso contrário, o arquivo de certificado será considerado inválido.
  3. Validate certificate enhanced key usage — verifique se o uso da chave está habilitado para autenticação de servidor e autenticação de client. Isso ocorre porque a migração é uma comunicação bidirecional entre a origem e o destino, em que qualquer um pode atuar como servidor e client durante a troca de informações. Para certificados de servidor único, somente a autenticação do servidor é necessária.
  4. O certificado está habilitado para criptografia de chave - O modelo de certificado usado para gerar o certificado deve incluir criptografia de chave. Isso garante que as chaves no certificado possam ser usadas para criptografar a comunicação.
  5. Cadeia de certificados com certificado raiz - O certificado contém a cadeia completa que inclui o certificado raiz. Isso é necessário para que a origem e o destino sejam confiáveis. O certificado raiz é adicionado ao armazenamento raiz confiável de cada equipamento. IMPORTANTE: O OpenManage Enterprise oferece suporte a um máximo de 10 certificados de lead dentro da cadeia de certificados.
  6. Issued to e issued by — O certificado raiz é usado como âncora de confiança e, em seguida, é usado para validar todos os certificados da cadeia em relação a essa âncora de confiança. Certifique-se de que a cadeia de certificados inclua o certificado raiz.
Cadeia de certificados de exemplo
Emitido para Emitido por
OMENT (equipamento) Inter-CA1
Inter-CA1 CA raiz
CA raiz CA raiz


Operação de carregamento da cadeia de certificados

Depois que toda a cadeia de certificados for adquirida, o administrador do OpenManage Enterprise deverá fazer upload da cadeia pela interface do usuário da Web - "Configurações do aplicativo -> Segurança - Certificados".
 
Se o certificado não atender aos requisitos, um dos seguintes erros será exibido na IU da Web:
  • CGEN1008 — Não foi possível processar a solicitação devido a um erro
  • CSEC9002 - Não é possível carregar o certificado porque o arquivo de certificado fornecido é inválido.
As seções a seguir destacam os erros, os gatilhos condicionais e como corrigir.

CGEN1008 - Não foi possível processar a solicitação porque ocorreu um erro.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Erro no carregamento do certificado CGEN1008 Não foi possível processar a solicitação devido a um erro 
O erro CGEN1008 será exibido se qualquer uma das seguintes condições de erro for atendida:
  • Chave CSR inválida para a cadeia de certificados
    • Certifique-se de que o certificado foi gerado usando a CSR da interface do usuário da Web do OpenManage Enterprise. O OpenManage Enterprise não dá suporte ao carregamento de um certificado que não foi gerado usando a CSR do mesmo equipamento.
    • O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Cadeia de certificados inválida
    • Os certificados da raiz e de todas as autoridades de certificação intermediárias devem ser incluídos no certificado.
    • O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Nenhum nome comum encontrado no certificado leaf — todos os certificados devem incluir os nomes comuns e não conter caracteres curinga (*).
Nota: O OpenManage Enterprise não é compatível com certificados curinga (*). A geração de uma CSR a partir da interface do usuário da Web usando um caractere-curinga (*) no nome distinto gera o seguinte erro: 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Erro no carregamento do certificado CGEN6002 Não foi possível concluir a solicitação porque o valor de entrada de DistinguishedName está ausente ou um valor inválido foi inserido 
  • Nenhum EKU (Extended Key Usage, uso estendido de chave) de autenticação de client e servidor está presente no certificado leaf
    • O certificado deve incluir autenticação de servidor e client para uso estendido de chave.
    • O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Analise os detalhes do certificado para aprimorar o uso da chave. Se algum deles estiver ausente, certifique-se de que o modelo usado para gerar o certificado esteja habilitado para ambos.
Detalhes do certificado mostrando o uso aprimorado da chave para autenticação de servidor e cliente 
  • Codificação de chave ausente para uso de chave
    • O certificado que está sendo carregado deve ter a codificação da chave listada para uso da chave.
    • O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Analise os detalhes do certificado quanto ao uso da chave. Certifique-se de que o modelo usado para gerar o certificado tenha a codificação de chaves ativada.
Detalhes do certificado mostrando o uso da chave para codificação da chave 
 

CSEC9002 - Não é possível carregar o certificado porque o arquivo de certificado fornecido é inválido.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Erro no carregamento do certificado CSEC9002 Não foi possível carregar o certificado porque o arquivo de certificado fornecido é inválido.
 
O erro CSEC9002 é exibido se qualquer uma das seguintes condições de erro for atendida: 
  • Codificação de chave ausente do certificado do servidor
    • Certifique-se de que o modelo usado para gerar o certificado tenha a codificação de chaves ativada. Ao aproveitar um certificado para migração, certifique-se de que a cadeia de certificados completa seja carregada, em vez do certificado de servidor único.
    • O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • O arquivo de certificado contém codificação incorreta
    • Certifique-se de que o arquivo de certificado foi salvo usando a codificação Base 64.
    • O seguinte erro é observado no log do aplicativo Tomcat localizado no pacote de logs do console:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Operação de verificação da conexão de migração

Depois de carregar a cadeia de certificados com sucesso, o processo de migração pode prosseguir com a próxima etapa: estabelecer conexão entre os consoles de origem e de destino. Nesta etapa, o administrador do OpenManage Enterprise fornece o endereço IP e as credenciais de administrador local para os consoles de origem e destino.
 
Os itens a seguir são verificados ao validar a conexão:
  • Emitido para e emitido por - Os nomes das autoridades de certificação na cadeia entre cada um dos certificados de origem e de destino têm os mesmos termos «emitido para» e «emitido por». Se esses nomes não corresponderem, a origem ou o destino não poderá verificar se as mesmas autoridades de assinatura emitiram os certificados. Isso é crucial para aderir à estrutura de segurança Zero Trust.
Cadeia de certificados válida entre origem e destino
Certificado de origem     Certificado de destino  
Emitido para Emitido por   Emitido para Emitido por
OMENT-310 (fonte) Inter-CA1 <-> OMENT-400 (alvo) Inter-CA1
Inter-CA1 CA raiz <-> Inter-CA1 CA raiz
CA raiz CA raiz <-> CA raiz CA raiz
 
 
Cadeia de certificados inválida entre origem e destino
Certificado de origem     Certificado de destino  
Emitido para Emitido por   Emitido para Emitido por
OMENT-310 (fonte) Inter-CA1 X OMENT-400 (alvo) Inter-CA2
Inter-CA1 CA raiz X Inter-CA2 CA raiz
CA raiz CA raiz <-> CA raiz CA raiz
 
  • Período de validade - verifica o período de validade do certificado com a data e a hora do equipamento.
  • Profundidade máxima - verifique se a cadeia de certificados não excede a profundidade máxima de certificados folha de 10 folhas.
Se os certificados não atenderem aos requisitos acima, o seguinte erro será exibido ao tentar validar as conexões do console: 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Erro de validação da conexão de migração — Não é possível autenticar e conectar-se mutuamente ao equipamento remoto. 

Ignorar o requisito de cadeia de certificados

Se houver problemas contínuos para atender aos requisitos da cadeia de certificados, há um método compatível que pode ser usado para aproveitar os certificados autoassinados. Continue aproveitando o recurso de backup e restauração, conforme descrito no seguinte artigo:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

Propriétés de l’article

Produit concerné

Dell EMC OpenManage Enterprise

Dernière date de publication

25 avr. 2024

Version

3

Type d’article

How To

Haut de la page