Data Domain: Konfiguracja zewnętrznego menedżera kluczy (KMIP) kończy się niepowodzeniem, gdy istnieje łańcuch zaufania dla certyfikatu serwera KMIP
Riepilogo: Podczas konfigurowania zewnętrznego menedżera kluczy (KIMP), jeśli zaufanie między DD a serwerem KMIP odbywa się za pośrednictwem łańcucha zaufania (certyfikat KMIP nie jest wystawiany przez główny urząd certyfikacji, ale przez pośredni urząd certyfikacji), nie można go poprawnie skonfigurować z poziomu wiersza poleceń DD ani interfejsu użytkownika. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Interfejs cli lub internetowy może być używany do konfigurowania zewnętrznego menedżera kluczy przy użyciu protokołu KMIP w celu szyfrowania FS lub innych zastosowań.
W pewnym momencie procesu DD prosi o podanie certyfikatu publicznego odpowiadającego głównemu urzędowi certyfikacji używanemu do podpisywania certyfikatu używanego przez serwer KMIP do uwierzytelniania.
Jeśli certyfikat KMIP nie został wystawiony przez urząd główny urzędu certyfikacji, ale przez pośredni urząd certyfikacji, wszystkie publiczne certyfikaty pośrednich urzędów certyfikacji musiałyby zostać przekazane do DD połączonej w tekstowym formularzu PEM.
W takim przypadku, mimo że plik z łańcuchem zaufania jest poprawny, DD nie będzie ufać certyfikatowi SSL serwera KMIP, a błędy takie jak poniżej będą widoczne w dziennikach (ddfs.info/messages.engineering / kmip.log):
Ze statusem zewnętrznego menedżera kluczy wyświetlanym poniżej w wierszu poleceń DD (pokaż menedżera kluczy szyfrowania filesys):
W pewnym momencie procesu DD prosi o podanie certyfikatu publicznego odpowiadającego głównemu urzędowi certyfikacji używanemu do podpisywania certyfikatu używanego przez serwer KMIP do uwierzytelniania.
Jeśli certyfikat KMIP nie został wystawiony przez urząd główny urzędu certyfikacji, ale przez pośredni urząd certyfikacji, wszystkie publiczne certyfikaty pośrednich urzędów certyfikacji musiałyby zostać przekazane do DD połączonej w tekstowym formularzu PEM.
W takim przypadku, mimo że plik z łańcuchem zaufania jest poprawny, DD nie będzie ufać certyfikatowi SSL serwera KMIP, a błędy takie jak poniżej będą widoczne w dziennikach (ddfs.info/messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Ze statusem zewnętrznego menedżera kluczy wyświetlanym poniżej w wierszu poleceń DD (pokaż menedżera kluczy szyfrowania filesys):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Od marca 2023 r. cli i przepływ pracy interfejsu sieciowego są takie, że DDOS nie zezwala na importowanie wielu certyfikatów urzędu certyfikacji dla zaufania KMIP. Jest to z założenia.
Jeśli certyfikat serwera KMIP nie jest podpisany przez główny urząd certyfikacji, DDOS odmawia przyjęcia wszystkich certyfikatów w łańcuchu, dlatego DD nie może bezpiecznie połączyć się z serwerem KMIP przy użyciu SSL, ponieważ nie będzie ufać wystawcy certyfikatu serwera KMIP (pośredniemu) urządowi certyfikacji.
Jeśli certyfikat serwera KMIP nie jest podpisany przez główny urząd certyfikacji, DDOS odmawia przyjęcia wszystkich certyfikatów w łańcuchu, dlatego DD nie może bezpiecznie połączyć się z serwerem KMIP przy użyciu SSL, ponieważ nie będzie ufać wystawcy certyfikatu serwera KMIP (pośredniemu) urządowi certyfikacji.
Risoluzione
Obejście problemu:
skontaktuj się z działem pomocy technicznej DELL Data Domain, aby uzyskać pomoc w przeprowadzeniu tej konfiguracji poza zwykłym interfejsem CLI i internetowym interfejsem użytkownika. Nie będzie to wymagało przestoju, ale wymaga dostępu na poziomie BASH, aby plik z łańcuchem zaufania dla serwera KMIP mógł zostać utworzony ręcznie w systemie.
Trwałe rozwiązanie:
nie ma wersji docelowej dla tej funkcji, która ma zostać dodana do DDOS, dzięki czemu podczas konfigurowania KMIP dla zewnętrznych menedżerów kluczy, jeśli podpisujący urząd certyfikacji nie jest katalogiem głównym, wszystkie certyfikaty pośrednie mogą zostać zaimportowane z interfejsu wiersza poleceń lub interfejsu sieciowego.
skontaktuj się z działem pomocy technicznej DELL Data Domain, aby uzyskać pomoc w przeprowadzeniu tej konfiguracji poza zwykłym interfejsem CLI i internetowym interfejsem użytkownika. Nie będzie to wymagało przestoju, ale wymaga dostępu na poziomie BASH, aby plik z łańcuchem zaufania dla serwera KMIP mógł zostać utworzony ręcznie w systemie.
Trwałe rozwiązanie:
nie ma wersji docelowej dla tej funkcji, która ma zostać dodana do DDOS, dzięki czemu podczas konfigurowania KMIP dla zewnętrznych menedżerów kluczy, jeśli podpisujący urząd certyfikacji nie jest katalogiem głównym, wszystkie certyfikaty pośrednie mogą zostać zaimportowane z interfejsu wiersza poleceń lub interfejsu sieciowego.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.