Домен даних: Налаштування менеджера зовнішніх ключів (KMIP) не вдається, коли існує ланцюжок довіри до сертифіката сервера KMIP
Riepilogo: При налаштуванні менеджера зовнішніх ключів (KIMP), якщо довіра між DD і сервером KMIP здійснюється через ланцюжок довіри (сертифікат KMIP видається не кореневим ЦС, а проміжним ЦС), це не може бути належним чином налаштовано ні з DD CLI, ні з інтерфейсу користувача. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
CLI або веб-інтерфейс можуть використовуватися для налаштування зовнішнього менеджера ключів за допомогою протоколу KMIP, для шифрування FS або інших цілей.
У якийсь момент процесу DD запитує публічний сертифікат, що відповідає кореню центру сертифікації (CA), який використовується для підпису сертифіката, який використовується сервером KMIP для автентифікації.
Якби сертифікат KMIP був виданий не коренем CA, а проміжним CA, всі публічні сертифікати проміжних CA повинні бути передані DD, об'єднані в текстову форму PEM.
У цьому випадку, незважаючи на те, що файл з ланцюжком довіри правильний, DD не довірятиме сертифікату SSL сервера KMIP, і такі помилки, як показано нижче, будуть помічені в журналах (ddfs.info / messages.engineering / kmip.log):
Зі статусом менеджера зовнішніх ключів, показаним, як показано нижче, з командного рядка DD (файловий менеджер ключів шифрування fileys показує):
У якийсь момент процесу DD запитує публічний сертифікат, що відповідає кореню центру сертифікації (CA), який використовується для підпису сертифіката, який використовується сервером KMIP для автентифікації.
Якби сертифікат KMIP був виданий не коренем CA, а проміжним CA, всі публічні сертифікати проміжних CA повинні бути передані DD, об'єднані в текстову форму PEM.
У цьому випадку, незважаючи на те, що файл з ланцюжком довіри правильний, DD не довірятиме сертифікату SSL сервера KMIP, і такі помилки, як показано нижче, будуть помічені в журналах (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Зі статусом менеджера зовнішніх ключів, показаним, як показано нижче, з командного рядка DD (файловий менеджер ключів шифрування fileys показує):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Станом на березень 2023 року робочий процес CLI та веб-інтерфейсу такий, що DDOS не дозволяє імпортувати кілька сертифікатів CA для довіри KMIP. Це за задумом.
Коли сертифікат сервера KMIP не підписаний кореневим ЦС, DDOS відмовляється приймати всі сертифікати в ланцюжку, отже, DD не може безпечно підключитися до сервера KMIP за допомогою SSL, оскільки він не довірятиме емітенту сертифіката сервера KMIP (проміжний) ЦС.
Коли сертифікат сервера KMIP не підписаний кореневим ЦС, DDOS відмовляється приймати всі сертифікати в ланцюжку, отже, DD не може безпечно підключитися до сервера KMIP за допомогою SSL, оскільки він не довірятиме емітенту сертифіката сервера KMIP (проміжний) ЦС.
Risoluzione
Спосіб вирішення:
Зверніться до служби підтримки домену даних DELL, щоб отримати допомогу у виконанні цієї конфігурації поза звичайним командним рядком та веб-інтерфейсом. Це не вимагатиме простоїв, але потребує доступу на рівні BASH, щоб файл з ланцюжком довіри для сервера KMIP міг бути побудований вручну в системі.
Постійне рішення:
Не існує цільового випуску для додавання цієї функціональності до DDOS, так що при налаштуванні KMIP для зовнішніх менеджерів ключів, якщо підпис ЦС не є кореневим, всі проміжні сертифікати можуть бути імпортовані з командного рядка або веб-інтерфейсу.
Зверніться до служби підтримки домену даних DELL, щоб отримати допомогу у виконанні цієї конфігурації поза звичайним командним рядком та веб-інтерфейсом. Це не вимагатиме простоїв, але потребує доступу на рівні BASH, щоб файл з ланцюжком довіри для сервера KMIP міг бути побудований вручну в системі.
Постійне рішення:
Не існує цільового випуску для додавання цієї функціональності до DDOS, так що при налаштуванні KMIP для зовнішніх менеджерів ключів, якщо підпис ЦС не є кореневим, всі проміжні сертифікати можуть бути імпортовані з командного рядка або веб-інтерфейсу.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.