Data Domain: Konfigurace nástroje KMIP (External Key Manager) se nezdaří, pokud certifikát serveru KMIP vytvoří řetězec certifikátů
Riepilogo: Pokud při konfiguraci správce externích klíčů (DDP) důvěřujete mezi systémem DD a serverem KMIP prostřednictvím řetězce certifikátů (certifikát KMIP není vydán kořenovým certifikačním autoritou, ale zprostředkující certifikační autoritou), nelze to správně konfigurovat z příkazového řádku DD ani uživatelského rozhraní. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Rozhraní příkazového řádku nebo webového uživatelského rozhraní lze použít k nastavení správce externích klíčů pomocí protokolu KMIP pro šifrování FS nebo pro jiné použití.
V určitém okamžiku procesu požádá systém DD o veřejný certifikát odpovídající kořenovému adresáři certifikační autority (CA) použitému k přihlášení k certifikátu používanému serverem KMIP k ověření.
Pokud nebyl certifikát KMIP vydán kořenovým adresářem certifikační autority, ale zprostředkující certifikační autoritou, všechny veřejné certifikáty zprostředkujících certifikačních autorit by musely být předány do systému DD zřetězené v textovém formuláři PEM.
V tomto případě se navzdory správnému řetězci certifikátů systému DD nepodaří důvěřovat certifikátu SSL serveru KMIP a v protokolech (ddfs.info / messages.engineering / kmip.log) se zobrazí chyby jako níže:
Stav nástroje External Key Manager je uveden níže v rozhraní příkazového řádku DD (příkaz filesys encryption key-manager):
V určitém okamžiku procesu požádá systém DD o veřejný certifikát odpovídající kořenovému adresáři certifikační autority (CA) použitému k přihlášení k certifikátu používanému serverem KMIP k ověření.
Pokud nebyl certifikát KMIP vydán kořenovým adresářem certifikační autority, ale zprostředkující certifikační autoritou, všechny veřejné certifikáty zprostředkujících certifikačních autorit by musely být předány do systému DD zřetězené v textovém formuláři PEM.
V tomto případě se navzdory správnému řetězci certifikátů systému DD nepodaří důvěřovat certifikátu SSL serveru KMIP a v protokolech (ddfs.info / messages.engineering / kmip.log) se zobrazí chyby jako níže:
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Stav nástroje External Key Manager je uveden níže v rozhraní příkazového řádku DD (příkaz filesys encryption key-manager):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Od března 2023 je pracovní postup rozhraní příkazového řádku a webového uživatelského rozhraní takový, aby systém DDOS neumožňoval import více certifikátů CA, kterým může služba KMIP důvěřovat. Jedná se o záměrné chování.
Pokud není certifikát serveru KMIP podepsán kořenovým certifikačním autoritou, systém DDOS odmítne přijmout všechny certifikáty v řetězci, a proto se systém DD nemůže bezpečně připojit k serveru KMIP pomocí protokolu SSL, protože nebude důvěřovat vydavateli (přechodnému) certifikátu serveru KMIP.
Pokud není certifikát serveru KMIP podepsán kořenovým certifikačním autoritou, systém DDOS odmítne přijmout všechny certifikáty v řetězci, a proto se systém DD nemůže bezpečně připojit k serveru KMIP pomocí protokolu SSL, protože nebude důvěřovat vydavateli (přechodnému) certifikátu serveru KMIP.
Risoluzione
Zástupné řešení:
Obraťte se na podporu DELL Data Domain, která vám pomůže s prováděním této konfigurace mimo běžné rozhraní příkazového řádku a webového uživatelského rozhraní. To bude vyžadovat žádné prostoje, ale vyžaduje přístup na úrovni BASH, aby byl soubor s řetězcem důvěryhodnosti pro server KMIP vytvořen v systému ručně.
Trvalé řešení:
Pro přidání této funkce do systému DDOS neexistuje žádná cílová verze, takže při konfiguraci protokolu KMIP pro správce externích klíčů, pokud podepisovací certifikační autorita není kořenovým řešením, lze importovat všechny zprostředkující certifikáty z rozhraní CLI nebo z webového uživatelského rozhraní.
Obraťte se na podporu DELL Data Domain, která vám pomůže s prováděním této konfigurace mimo běžné rozhraní příkazového řádku a webového uživatelského rozhraní. To bude vyžadovat žádné prostoje, ale vyžaduje přístup na úrovni BASH, aby byl soubor s řetězcem důvěryhodnosti pro server KMIP vytvořen v systému ručně.
Trvalé řešení:
Pro přidání této funkce do systému DDOS neexistuje žádná cílová verze, takže při konfiguraci protokolu KMIP pro správce externích klíčů, pokud podepisovací certifikační autorita není kořenovým řešením, lze importovat všechny zprostředkující certifikáty z rozhraní CLI nebo z webového uživatelského rozhraní.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.