Data Domain: Det går inte att konfigurera den externa nyckelhanteraren (KMIP) när det finns en certifikatkedja för KMIP-servercertifikatet
Riepilogo: Om förtroende mellan DD och KMIP-servern sker via en förtroendekedja (KMIP-certifikatet utfärdas inte av en rotcertifikatutfärdare, men av en mellanliggande certifikatutfärdare) när du konfigurerar en extern nyckelhanterare (DMIP-certifikatet) kan det inte konfigureras korrekt från DD CLI eller användargränssnittet. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
CLI eller webbgränssnittet kan användas för att konfigurera en extern nyckelhanterare med hjälp av KMIP-protokollet, för FS-kryptering eller andra användningsområden.
Någon gång i processen ber DD om det offentliga certifikat som motsvarar roten på certifikatutfärdare (CA) som används för att signera det certifikat som används av KMIP-servern för att autentisera sig själv.
Om KMIP-certifikatet inte har utfärdats av CA-roten, men av en mellanliggande certifikatutfärdare, måste alla offentliga certifikat för mellanliggande certifikat skickas till DD som sammanfogats i textformat, PEM-formulär.
I så fall, trots att filen med certifikatkedjan är korrekt, kommer DD att misslyckas med att lita på KMIP-serverns SSL-certifikat, och fel som nedan visas i loggarna (ddfs.info /messages.engineering / kmip.log):
Statusen för den externa nyckelhanteraren visas som nedan från DD CLI (filesys encryption key-manager show):
Någon gång i processen ber DD om det offentliga certifikat som motsvarar roten på certifikatutfärdare (CA) som används för att signera det certifikat som används av KMIP-servern för att autentisera sig själv.
Om KMIP-certifikatet inte har utfärdats av CA-roten, men av en mellanliggande certifikatutfärdare, måste alla offentliga certifikat för mellanliggande certifikat skickas till DD som sammanfogats i textformat, PEM-formulär.
I så fall, trots att filen med certifikatkedjan är korrekt, kommer DD att misslyckas med att lita på KMIP-serverns SSL-certifikat, och fel som nedan visas i loggarna (ddfs.info /messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Statusen för den externa nyckelhanteraren visas som nedan från DD CLI (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Från och med mars 2023 är CLI-arbetsflödet och webbgränssnittets arbetsflöde sådan att DDOS inte tillåter import av flera CA-certifikat som kmip kan lita på. Det är avsiktligt.
När KMIP-servercertifikatet inte är signerat för rotcertifikatutfärdaren vägrar DDOS att ta emot alla certifikat i kedjan, vilket innebär att DD inte kan ansluta säkert till KMIP-servern med hjälp av SSL, eftersom den inte litar på utfärdaren för KMIP-servercertifikatet (mellanliggande) CA.
När KMIP-servercertifikatet inte är signerat för rotcertifikatutfärdaren vägrar DDOS att ta emot alla certifikat i kedjan, vilket innebär att DD inte kan ansluta säkert till KMIP-servern med hjälp av SSL, eftersom den inte litar på utfärdaren för KMIP-servercertifikatet (mellanliggande) CA.
Risoluzione
Lösning: Kontakta DELL Data Domain-supporten
för att få hjälp med att utföra den här konfigurationen utanför det vanliga CLI- och webbgränssnittet. Detta kräver inget driftavbrott, men behöver åtkomst till BASH-nivå så att filen med betrodd kedja för KMIP-servern kan byggas manuellt i systemet.
Permanent lösning:
Det finns ingen målversion för den här funktionen som ska läggas till i DDOS, så när du konfigurerar KMIP för externa nyckelhanterare kan alla mellanliggande certifikat importeras från CLI eller webbgränssnittet om certifikatutfärdare för signering inte är roten.
för att få hjälp med att utföra den här konfigurationen utanför det vanliga CLI- och webbgränssnittet. Detta kräver inget driftavbrott, men behöver åtkomst till BASH-nivå så att filen med betrodd kedja för KMIP-servern kan byggas manuellt i systemet.
Permanent lösning:
Det finns ingen målversion för den här funktionen som ska läggas till i DDOS, så när du konfigurerar KMIP för externa nyckelhanterare kan alla mellanliggande certifikat importeras från CLI eller webbgränssnittet om certifikatutfärdare för signering inte är roten.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.