Data Domain. Настройка внешнего диспетчера ключей (KMIP) завершается сбоем при наличии цепочки доверия для сертификата сервера KMIP
Riepilogo: Если при настройке внешнего диспетчера ключей (KIMP) доверие между DD и сервером KMIP обеспечивается посредством цепочки доверия (сертификат KMIP выдается не корневым ЦС, а промежуточным ЦС), это не может быть правильно настроено либо из интерфейса командной строки DD, либо из пользовательского интерфейса. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Интерфейс командной строки или веб-интерфейс можно использовать для настройки внешнего диспетчера ключей с использованием протокола KMIP, для шифрования файловой системы или других сценариев использования.
В какой-то момент процесса DD запрашивает общедоступный сертификат, соответствующий корневому каталогу центра сертификации (CA), который используется для подписи сертификата, используемого сервером KMIP для самотестирования.
Если сертификат KMIP был выдатирован не корнем ЦС, а промежуточным ЦС, все публичные сертификаты промежуточных ЦС должны быть переданы в DD, объединенную в текстовую форму PEM.
В этом случае, несмотря на правильность файла с цепочкой доверия, DD не будет доверять сертификату SSL сервера KMIP, и в журналах будут отображаться ошибки, подобные приведенным ниже (ddfs.info / messages.engineering / kmip.log):
Состояние внешнего диспетчера ключей отображается, как показано ниже, из интерфейса командной строки DD (filesys encryption key-manager show):
В какой-то момент процесса DD запрашивает общедоступный сертификат, соответствующий корневому каталогу центра сертификации (CA), который используется для подписи сертификата, используемого сервером KMIP для самотестирования.
Если сертификат KMIP был выдатирован не корнем ЦС, а промежуточным ЦС, все публичные сертификаты промежуточных ЦС должны быть переданы в DD, объединенную в текстовую форму PEM.
В этом случае, несмотря на правильность файла с цепочкой доверия, DD не будет доверять сертификату SSL сервера KMIP, и в журналах будут отображаться ошибки, подобные приведенным ниже (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Состояние внешнего диспетчера ключей отображается, как показано ниже, из интерфейса командной строки DD (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
По состоянию на март 2023 года рабочий процесс интерфейса командной строки и веб-интерфейса таков, что DDOS не позволяет импортировать несколько сертификатов ЦС для KMIP в доверие. Это разработка.
Если сертификат сервера KMIP не подписан корневым ЦС, DDOS отказывается принимать все сертификаты в цепочке, поэтому DD не может безопасно подключиться к серверу KMIP с использованием SSL, так как он не будет доверять ЦС-файлу сертификата сервера KMIP (промежуточный).
Если сертификат сервера KMIP не подписан корневым ЦС, DDOS отказывается принимать все сертификаты в цепочке, поэтому DD не может безопасно подключиться к серверу KMIP с использованием SSL, так как он не будет доверять ЦС-файлу сертификата сервера KMIP (промежуточный).
Risoluzione
Временное решение:Обратитесь в
службу поддержки Dell Data Domain за помощью в выполнении этой конфигурации за пределами обычного интерфейса командной строки и веб-интерфейса пользователя. Для этого не требуется простоев, но требуется доступ на уровне BASH, чтобы файл с цепочкой доверия для сервера KMIP можно было вручную со встроенной системой.
Окончательное решение.Нет
целевого выпуска для этой функции, которую необходимо добавить в DDOS, поэтому при настройке KMIP для внешних диспетчеров ключей, если ЦС подписи не является корневым, все промежуточные сертификаты можно импортировать из интерфейса командной строки или веб-интерфейса пользователя.
службу поддержки Dell Data Domain за помощью в выполнении этой конфигурации за пределами обычного интерфейса командной строки и веб-интерфейса пользователя. Для этого не требуется простоев, но требуется доступ на уровне BASH, чтобы файл с цепочкой доверия для сервера KMIP можно было вручную со встроенной системой.
Окончательное решение.Нет
целевого выпуска для этой функции, которую необходимо добавить в DDOS, поэтому при настройке KMIP для внешних диспетчеров ключей, если ЦС подписи не является корневым, все промежуточные сертификаты можно импортировать из интерфейса командной строки или веб-интерфейса пользователя.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.