Data Domain: Konfigurering av KMIP (External Key Manager) mislykkes når det finnes en klareringskjede for KMIP-serversertifikatet
Riepilogo: Når du konfigurerer en ekstern nøkkelbehandling (PSTP), hvis klarering mellom DD og KMIP-serveren er gjennom en klareringskjede (KMIP-sertifikatet utstedes ikke av en rot-CA, men av en mellomliggende CA), kan ikke dette konfigureres på riktig måte fra enten DD CLI eller brukergrensesnittet. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
CLI- eller webgrensesnittet kan brukes til å konfigurere en ekstern nøkkelbehandling ved hjelp av KMIP-protokollen, for FS-kryptering eller annen bruk.
På et tidspunkt i prosessen ber DD om det offentlige sertifikatet som samsvarer med roten til sertifiseringsinstansen (CA), som brukes til å signere for sertifikatet som brukes av KMIP-serveren til å godkjenne seg selv.
Hvis KMIP-sertifikatet ikke ble utstedt av CA-roten, men av en mellomliggende CA, måtte alle de offentlige sertifikatene for mellomliggende CAS-er sendes til DD-koncatenated i tekstlig PEM-skjema.
I dette tilfellet, til tross for at filen med klareringskjeden er riktig, klarer ikke DD KMIP-serverens SSL-sertifikat, og feil som nedenfor vil ses i loggene (ddfs.info /messages.engineering / kmip.log):
Status for ekstern nøkkelbehandling vises som nedenfor fra DD CLI (filesys encryption key-manager show):
På et tidspunkt i prosessen ber DD om det offentlige sertifikatet som samsvarer med roten til sertifiseringsinstansen (CA), som brukes til å signere for sertifikatet som brukes av KMIP-serveren til å godkjenne seg selv.
Hvis KMIP-sertifikatet ikke ble utstedt av CA-roten, men av en mellomliggende CA, måtte alle de offentlige sertifikatene for mellomliggende CAS-er sendes til DD-koncatenated i tekstlig PEM-skjema.
I dette tilfellet, til tross for at filen med klareringskjeden er riktig, klarer ikke DD KMIP-serverens SSL-sertifikat, og feil som nedenfor vil ses i loggene (ddfs.info /messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Status for ekstern nøkkelbehandling vises som nedenfor fra DD CLI (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Fra og med mars 2023 er cli- og webgrensesnittarbeidsflyten slik at DDOS ikke tillater import av flere CA-sertifikater som KMIP kan klarere. Dette er designet.
Når KMIP-serversertifikatet ikke er signert av rot-CA, nekter DDOS å godta alle sertifikater i kjeden, og dermed kan ikke DD kobles trygt til KMIP-serveren ved hjelp av SSL, fordi det ikke vil klarere KMIP-serversertifikatets utsteder (mellomliggende) CA.
Når KMIP-serversertifikatet ikke er signert av rot-CA, nekter DDOS å godta alle sertifikater i kjeden, og dermed kan ikke DD kobles trygt til KMIP-serveren ved hjelp av SSL, fordi det ikke vil klarere KMIP-serversertifikatets utsteder (mellomliggende) CA.
Risoluzione
Midlertidig løsning:
Kontakt DELL Data Domain Support for å få hjelp til å utføre denne konfigurasjonen utenfor det vanlige CLI- og webgrensesnittet. Dette krever ingen nedetid, men trenger tilgang på BASH-nivå, slik at filen med klareringskjeden for KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Hvis signerings-CA ikke er rotversjonen, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet når du konfigurerer KMIP for eksterne nøkkeladministratorer. Hvis signerings-CA ikke er rotnummeret, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet.
Kontakt DELL Data Domain Support for å få hjelp til å utføre denne konfigurasjonen utenfor det vanlige CLI- og webgrensesnittet. Dette krever ingen nedetid, men trenger tilgang på BASH-nivå, slik at filen med klareringskjeden for KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Hvis signerings-CA ikke er rotversjonen, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet når du konfigurerer KMIP for eksterne nøkkeladministratorer. Hvis signerings-CA ikke er rotnummeret, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.