Data Domain: Konfiguration af ekstern nøglehåndtering (KMIP) mislykkes, når der er en tillidskæde til KMIP-servercertifikatet
Riepilogo: Når du konfigurerer en ekstern nøglehåndtering (KIMP), og hvis tillid mellem DD og KMIP-serveren foregår gennem en tillidskæde (KMIP-certifikatet ikke udstedes af et rodnøglecenter, men af et mellemliggende nøglecenter), kan dette ikke konfigureres korrekt fra hverken DD CLI eller brugergrænsefladen. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
CLI- eller webbrugergrænsefladen kan bruges til at konfigurere en ekstern nøgleadministrator ved hjælp af KMIP-protokollen, til FS-kryptering eller anden brug.
På et tidspunkt i processen anmoder DD om det offentlige certifikat, der svarer til roden på det nøglecenter, der bruges til at underskrive for det certifikat, der bruges af KMIP-serveren, til at godkende sig selv.
Hvis KMIP-certifikatet ikke blev udstedt af NØGLECENTER-roden, men af et mellemliggende nøglecenter, skal alle de mellemliggende nøglecentres offentlige certifikater overføres til den DD, der er sammenkædet med en tekstbaseret PEM-formular.
I dette tilfælde vil DD ikke have tillid til KMIP-serverens SSL-certifikat, selvom filen er korrekt, og fejl som f.eks. nedenfor kan ses i logfilerne (ddfs.info / messages.engineering / kmip.log):
Status for den eksterne key manager vises som nedenfor fra DD CLI (filys krypteringsnøgleadministrator vises):
På et tidspunkt i processen anmoder DD om det offentlige certifikat, der svarer til roden på det nøglecenter, der bruges til at underskrive for det certifikat, der bruges af KMIP-serveren, til at godkende sig selv.
Hvis KMIP-certifikatet ikke blev udstedt af NØGLECENTER-roden, men af et mellemliggende nøglecenter, skal alle de mellemliggende nøglecentres offentlige certifikater overføres til den DD, der er sammenkædet med en tekstbaseret PEM-formular.
I dette tilfælde vil DD ikke have tillid til KMIP-serverens SSL-certifikat, selvom filen er korrekt, og fejl som f.eks. nedenfor kan ses i logfilerne (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Status for den eksterne key manager vises som nedenfor fra DD CLI (filys krypteringsnøgleadministrator vises):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Fra og med marts 2023 er arbejdsprocesserne for CLI og webbrugergrænsefladen sådan, at DDOS ikke tillader import af flere CA-certifikater, som KMIP har tillid til. Dette er tilsigtet.
Når KMIP-servercertifikatet ikke er signeret af rodnøglecenteret, nægter DDOS at acceptere alle certifikater i kæden, hvorfor DD ikke kan oprette sikker forbindelse til KMIP-serveren ved hjælp af SSL, fordi det ikke vil have tillid til KMIP-servercertifikatets udsteder (mellemliggende) CA.
Når KMIP-servercertifikatet ikke er signeret af rodnøglecenteret, nægter DDOS at acceptere alle certifikater i kæden, hvorfor DD ikke kan oprette sikker forbindelse til KMIP-serveren ved hjælp af SSL, fordi det ikke vil have tillid til KMIP-servercertifikatets udsteder (mellemliggende) CA.
Risoluzione
Løsning:
Kontakt DELL Data Domain Support for at få hjælp til at udføre denne konfiguration uden for den almindelige CLI- og webbrugergrænseflade. Dette kræver ingen nedetid, men kræver bash-niveauadgang, så filen med tillidskæden til KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Der er ingen destinationsversion for at føje denne funktionalitet til DDOS, så når du konfigurerer KMIP til eksterne nøgleadministratorer, og hvis signering af CA ikke er root one, kan alle mellemliggende certifikater importeres fra CLI eller webbrugergrænsefladen.
Kontakt DELL Data Domain Support for at få hjælp til at udføre denne konfiguration uden for den almindelige CLI- og webbrugergrænseflade. Dette kræver ingen nedetid, men kræver bash-niveauadgang, så filen med tillidskæden til KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Der er ingen destinationsversion for at føje denne funktionalitet til DDOS, så når du konfigurerer KMIP til eksterne nøgleadministratorer, og hvis signering af CA ikke er root one, kan alle mellemliggende certifikater importeres fra CLI eller webbrugergrænsefladen.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.