Data Domain: La configurazione di Gestione delle chiavi esterna (KMIP) non riesce quando è presente una catena di attendibilità per il certificato del server KMIP
Riepilogo: Quando si configura un gestore di chiavi esterno (KIMP), se l'attendibilità tra DD e il server KMIP avviene tramite una catena di attendibilità (il certificato KMIP non è emesso da una CA radice, ma da una CA intermedia), ciò non può essere configurato correttamente dalla CLI di DD o dall'interfaccia utente. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
La CLI o l'interfaccia utente web può essere utilizzata per configurare un gestore di chiavi esterno utilizzando il protocollo KMIP, per la crittografia FS o altri utilizzi.
A un certo punto del processo, DD richiede il certificato pubblico corrispondente alla radice dell'autorità di certificazione (CA) utilizzata per firmare il certificato utilizzato dal server KMIP per eseguire l'autenticazione.
Se il certificato KMIP non è stato emesso dalla radice della CA, ma da una CA intermedia, tutti i certificati pubblici delle CA intermedie dovrebbero essere passati al DD concatenato in formato testuale PEM.
In questo caso, nonostante il file con la catena di attendibilità corretta, DD non riuscirà a considerare attendibile il certificato SSL del server KMIP e nei registri vengono visualizzati errori come quelli riportati di seguito (ddfs.info /messages.engineering / kmip.log):
Con lo stato di gestione delle chiavi esterno visualizzato di seguito dalla CLI DD (filesys encryption key-manager show):
A un certo punto del processo, DD richiede il certificato pubblico corrispondente alla radice dell'autorità di certificazione (CA) utilizzata per firmare il certificato utilizzato dal server KMIP per eseguire l'autenticazione.
Se il certificato KMIP non è stato emesso dalla radice della CA, ma da una CA intermedia, tutti i certificati pubblici delle CA intermedie dovrebbero essere passati al DD concatenato in formato testuale PEM.
In questo caso, nonostante il file con la catena di attendibilità corretta, DD non riuscirà a considerare attendibile il certificato SSL del server KMIP e nei registri vengono visualizzati errori come quelli riportati di seguito (ddfs.info /messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Con lo stato di gestione delle chiavi esterno visualizzato di seguito dalla CLI DD (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
A partire da marzo 2023, la CLI e il flusso di lavoro dell'interfaccia utente web sono tali che DDOS non consente l'importazione di più certificati CA per l'attendibilità di KMIP. Questa è la progettazione.
Se il certificato del server KMIP non è firmato dalla CA radice, DDOS rifiuta di accettare tutti i certificati nella catena, pertanto DD non può connettersi in modo sicuro al server KMIP utilizzando SSL, perché non considera attendibile la CA di emissione (intermedia) del certificato del server KMIP.
Se il certificato del server KMIP non è firmato dalla CA radice, DDOS rifiuta di accettare tutti i certificati nella catena, pertanto DD non può connettersi in modo sicuro al server KMIP utilizzando SSL, perché non considera attendibile la CA di emissione (intermedia) del certificato del server KMIP.
Risoluzione
Soluzione alternativa:
Contattare il supporto di DELL Data Domain per assistenza nell'esecuzione di questa configurazione al di fuori della normale INTERFACCIA a riga di comando e interfaccia utente web. Ciò non richiederà tempi di inattività, ma richiede l'accesso a livello BASH in modo che il file con la catena di attendibilità per il server KMIP possa essere costruito manualmente sul sistema.
Soluzione permanente:
non esiste una versione di destinazione per questa funzionalità da aggiungere a DDOS, pertanto, durante la configurazione di KMIP per i gestori di chiavi esterni, se la CA di firma non è quella root, tutti i certificati intermedi possono essere importati dalla CLI o dall'interfaccia utente web.
Contattare il supporto di DELL Data Domain per assistenza nell'esecuzione di questa configurazione al di fuori della normale INTERFACCIA a riga di comando e interfaccia utente web. Ciò non richiederà tempi di inattività, ma richiede l'accesso a livello BASH in modo che il file con la catena di attendibilità per il server KMIP possa essere costruito manualmente sul sistema.
Soluzione permanente:
non esiste una versione di destinazione per questa funzionalità da aggiungere a DDOS, pertanto, durante la configurazione di KMIP per i gestori di chiavi esterni, se la CA di firma non è quella root, tutti i certificati intermedi possono essere importati dalla CLI o dall'interfaccia utente web.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.