Data Domain: Configureren van extern sleutelbeheer (KMIP) mislukt wanneer er een vertrouwensketen is voor het KMIP-servercertificaat
Riepilogo: Bij het configureren van een extern sleutelbeheer (KIMP), als de vertrouwensrelatie tussen de DD en de KMIP-server via een vertrouwensketen is (KMIP-certificaat wordt niet uitgegeven door een root-CA, maar door een tussenliggende CA), kan dit niet correct worden geconfigureerd vanuit de DD CLI of de gebruikersinterface. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
De CLI of webinterface kan worden gebruikt om een externe sleutelbeheer in te stellen met behulp van het KMIP-protocol, voor FS-versleuteling of andere toepassingen.
Op een bepaald moment in het proces vraagt DD om het openbare certificaat dat overeenkomt met de hoofdmap van de certificeringsinstantie (CA) die wordt gebruikt om te ondertekenen voor het certificaat dat wordt gebruikt door de KMIP-server om zichzelf te verifiëren.
Als het KMIP-certificaat niet is uitgegeven door de CA-hoofdmap, maar door een tussenliggende CA, moeten alle openbare certificaten van de tussenliggende CA's worden doorgegeven aan de DD, samengevoegd in tekst, PEM-vorm.
In dit geval is het geval, ondanks dat het bestand met de vertrouwensketen correct is, zal de DD het SSL-certificaat van de KMIP-server niet vertrouwen en fouten zoals hieronder worden weergegeven in de logboeken (ddfs.info / messages.engineering / kmip.log):
Met de status van de externe sleutelbeheer zoals hieronder weergegeven in de DD CLI (filesys encryption key-manager show):
Op een bepaald moment in het proces vraagt DD om het openbare certificaat dat overeenkomt met de hoofdmap van de certificeringsinstantie (CA) die wordt gebruikt om te ondertekenen voor het certificaat dat wordt gebruikt door de KMIP-server om zichzelf te verifiëren.
Als het KMIP-certificaat niet is uitgegeven door de CA-hoofdmap, maar door een tussenliggende CA, moeten alle openbare certificaten van de tussenliggende CA's worden doorgegeven aan de DD, samengevoegd in tekst, PEM-vorm.
In dit geval is het geval, ondanks dat het bestand met de vertrouwensketen correct is, zal de DD het SSL-certificaat van de KMIP-server niet vertrouwen en fouten zoals hieronder worden weergegeven in de logboeken (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Met de status van de externe sleutelbeheer zoals hieronder weergegeven in de DD CLI (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Vanaf maart 2023 is de CLI- en webinterfaceworkflow zodanig dat DDOS het importeren van meerdere CA-certificaten voor KMIP niet toestaat. Dit is naar ontwerp.
Wanneer het KMIP-servercertificaat niet is ondertekend door de root-CA, weigert DDOS alle certificaten in de keten te accepteren. Daarom kan de DD geen veilige verbinding maken met KMIP-server via SSL, omdat het de certificeringsinstantie (tussenliggende) CA van het KMIP-servercertificaat niet vertrouwt.
Wanneer het KMIP-servercertificaat niet is ondertekend door de root-CA, weigert DDOS alle certificaten in de keten te accepteren. Daarom kan de DD geen veilige verbinding maken met KMIP-server via SSL, omdat het de certificeringsinstantie (tussenliggende) CA van het KMIP-servercertificaat niet vertrouwt.
Risoluzione
Tijdelijke oplossing:
Neem contact op met DELL Data Domain Support voor hulp bij het uitvoeren van deze configuratie buiten de reguliere CLI en webinterface. Dit vereist geen downtime, maar vereist toegang op BASH-niveau, zodat het bestand met de chain of trust voor de KMIP-server handmatig op het systeem kan worden gebouwd.
Permanente oplossing:
Er is geen doelrelease om deze functionaliteit toe te voegen aan DDOS, zodat bij het configureren van KMIP voor externe sleutelmanagers, als de ondertekenings-CA niet de root is, alle tussenliggende certificaten kunnen worden geïmporteerd uit de CLI of de webinterface.
Neem contact op met DELL Data Domain Support voor hulp bij het uitvoeren van deze configuratie buiten de reguliere CLI en webinterface. Dit vereist geen downtime, maar vereist toegang op BASH-niveau, zodat het bestand met de chain of trust voor de KMIP-server handmatig op het systeem kan worden gebouwd.
Permanente oplossing:
Er is geen doelrelease om deze functionaliteit toe te voegen aan DDOS, zodat bij het configureren van KMIP voor externe sleutelmanagers, als de ondertekenings-CA niet de root is, alle tussenliggende certificaten kunnen worden geïmporteerd uit de CLI of de webinterface.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.