Data Domain: Ulkoisen avainten hallinnan (KMIP) määrittäminen epäonnistuu, kun KMIP-palvelimen varmenteella on luottamusketju
Riepilogo: Jos määritettäessä ulkoista avainten hallintaa (KIMP) DD:n ja KMIP-palvelimen välinen luottamus perustuu luottamusketjuun (PÄÄtason varmenteen myöntäjä ei anna KMIP-varmennetta eikä välitason varmenteiden myöntäjää), tätä ei voi määrittää oikein DD-komentoriviliittymässä eikä käyttöliittymässä. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Komentorivikäyttöliittymää tai verkkokäyttöliittymää voidaan käyttää ulkoisen avainten hallinnan määrittämiseen KMIP-protokollan avulla FS-salausta tai muita käyttötapoja varten.
Jossain prosessin vaiheessa DD pyytää varmenteen myöntäjän päätasoa vastaavaa julkista varmennetta, jota käytetään kirjautumiseen KMIP-palvelimen käyttämän varmenteen allekirjoittamiseen.
Jos KMIP-varmenne ei ole varmenteen myöntäjän pääkäyttäjän myöntämä, mutta välitason varmenteiden myöntäjä on varmenteen myöntäjä, kaikki välitason varmenteiden myöntäjien julkiset varmenteet on välitettävä tekstimuotoiseen PEM-lomakkeeseen yhdistettyyn DD:hen.
Vaikka luotettava ketju -tiedosto onkin oikea, DD ei luota KMIP-palvelimen SSL-varmenteeseen, ja lokeissa (ddfs.info/messages.engineering / kmip.log) näkyy seuraavan kaltaisia virheitä:
Kun external key manager -tilana näkyy seuraava DD-komentoriviliittymässä (filesys encryption key-manager show):
Jossain prosessin vaiheessa DD pyytää varmenteen myöntäjän päätasoa vastaavaa julkista varmennetta, jota käytetään kirjautumiseen KMIP-palvelimen käyttämän varmenteen allekirjoittamiseen.
Jos KMIP-varmenne ei ole varmenteen myöntäjän pääkäyttäjän myöntämä, mutta välitason varmenteiden myöntäjä on varmenteen myöntäjä, kaikki välitason varmenteiden myöntäjien julkiset varmenteet on välitettävä tekstimuotoiseen PEM-lomakkeeseen yhdistettyyn DD:hen.
Vaikka luotettava ketju -tiedosto onkin oikea, DD ei luota KMIP-palvelimen SSL-varmenteeseen, ja lokeissa (ddfs.info/messages.engineering / kmip.log) näkyy seuraavan kaltaisia virheitä:
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Kun external key manager -tilana näkyy seuraava DD-komentoriviliittymässä (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Maaliskuusta 2023 lähtien komentorivikäyttöliittymän ja verkkokäyttöliittymän työnkulku on sellainen, että DDOS ei salli usean varmenteen tuonnin yhteydessä, jotta KMIP luottaisi siihen. Tämä on suunniteltu.
Jos päätason varmenteiden myöntäjä ei ole allekirjoittanut KMIP-palvelimen varmennetta, DDOS ei hyväksy kaikkia ketjun varmenteita, joten DD ei voi muodostaa suojattua yhteyttä KMIP-palvelimeen SSL:n kautta, koska se ei luota KMIP-palvelimen varmenteen myöntäjään (välivarmenteiden myöntäjään).
Jos päätason varmenteiden myöntäjä ei ole allekirjoittanut KMIP-palvelimen varmennetta, DDOS ei hyväksy kaikkia ketjun varmenteita, joten DD ei voi muodostaa suojattua yhteyttä KMIP-palvelimeen SSL:n kautta, koska se ei luota KMIP-palvelimen varmenteen myöntäjään (välivarmenteiden myöntäjään).
Risoluzione
Kiertotapa:
ota yhteys DELL Data Domain -tukeen ja pyydä apua tämän määrityksen suorittamisessa tavallisen komentoriviliittymän ja verkkokäyttöliittymän ulkopuolella. Tämä ei edellytä seisokkiaikaa, mutta se tarvitsee BASH-tason käyttöoikeudet, jotta KMIP-palvelimen luottamusketjua käyttävä tiedosto voidaan rakentaa manuaalisesti järjestelmään.
Pysyvä ratkaisu:
Tälle toiminnolle ei ole kohdejulkaisua DDOS:iin, joten kun KMIP:ää määritetään ulkoisille avainpäälliköille, jos allekirjoittaja ei ole päävarmenne, kaikki välivarmenteet voidaan tuoda komentoriviliittymästä tai verkkokäyttöliittymästä.
ota yhteys DELL Data Domain -tukeen ja pyydä apua tämän määrityksen suorittamisessa tavallisen komentoriviliittymän ja verkkokäyttöliittymän ulkopuolella. Tämä ei edellytä seisokkiaikaa, mutta se tarvitsee BASH-tason käyttöoikeudet, jotta KMIP-palvelimen luottamusketjua käyttävä tiedosto voidaan rakentaa manuaalisesti järjestelmään.
Pysyvä ratkaisu:
Tälle toiminnolle ei ole kohdejulkaisua DDOS:iin, joten kun KMIP:ää määritetään ulkoisille avainpäälliköille, jos allekirjoittaja ei ole päävarmenne, kaikki välivarmenteet voidaan tuoda komentoriviliittymästä tai verkkokäyttöliittymästä.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.