Data Domain: Die Konfiguration des externen Key Manager (KMIP) schlägt fehl, wenn eine Vertrauenskette für das KMIP-Serverzertifikat vorhanden ist.
Riepilogo: Wenn bei der Konfiguration eines externen Key Manager (KIMP) die Vertrauensbeziehung zwischen dem DD- und dem KMIP-Server über eine Vertrauenskette erfolgt (das KMIP-Zertifikat wird nicht von einer Stammzertifizierungsstelle ausgestellt, sondern von einer zwischengeschalteten Zertifizierungsstelle), kann dies weder über die DD-CLI noch über die Benutzeroberfläche ordnungsgemäß konfiguriert werden. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Die CLI oder Webbenutzeroberfläche kann verwendet werden, um einen externen Key Manager mithilfe des KMIP-Protokolls für die FS-Verschlüsselung oder andere Verwendungszwecke einzurichten.
Zu einem bestimmten Zeitpunkt des Prozesses fragt DD nach dem öffentlichen Zertifikat, das dem Stamm der Zertifizierungsstelle (CA) entspricht, die zum Signieren des Zertifikats verwendet wird, das vom KMIP-Server zur Selbstauthentifizierung verwendet wird.
Wenn das KMIP-Zertifikat nicht vom Stammverzeichnis der Zertifizierungsstelle ausgestellt wurde, sondern von einer zwischengeschalteten Zertifizierungsstelle, müssten alle öffentlichen Zertifikate der zwischengeschalteten Zertifizierungsstellen in textueller Form an die DD verkettet werden.
In diesem Fall kann die DD dem KMIP-Server-SSL-Zertifikat nicht vertrauen, obwohl die Datei mit der Vertrauenskette korrekt ist, und Fehler wie unten werden in den Protokollen angezeigt (ddfs.info / messages.engineering / kmip.log):
Der Status des externen Key Manager wird wie unten in der DD-CLI angezeigt (filesys encryption key-manager show):
Zu einem bestimmten Zeitpunkt des Prozesses fragt DD nach dem öffentlichen Zertifikat, das dem Stamm der Zertifizierungsstelle (CA) entspricht, die zum Signieren des Zertifikats verwendet wird, das vom KMIP-Server zur Selbstauthentifizierung verwendet wird.
Wenn das KMIP-Zertifikat nicht vom Stammverzeichnis der Zertifizierungsstelle ausgestellt wurde, sondern von einer zwischengeschalteten Zertifizierungsstelle, müssten alle öffentlichen Zertifikate der zwischengeschalteten Zertifizierungsstellen in textueller Form an die DD verkettet werden.
In diesem Fall kann die DD dem KMIP-Server-SSL-Zertifikat nicht vertrauen, obwohl die Datei mit der Vertrauenskette korrekt ist, und Fehler wie unten werden in den Protokollen angezeigt (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Der Status des externen Key Manager wird wie unten in der DD-CLI angezeigt (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Ab März 2023 ist der CLI- und Web-UI-Workflow so, dass DDOS den Import mehrerer CA-Zertifikate für KMIP nicht zulässt. Das ist beabsichtigt.
Wenn das KMIP-Serverzertifikat nicht von der Stammzertifizierungsstelle signiert wurde, verweigert DDOS die Annahme aller Zertifikate in der Kette, daher kann sich DD nicht sicher mit dem KMIP-Server über SSL verbinden, da es der Aussteller-CA des KMIP-Serverzertifikats nicht vertraut.
Wenn das KMIP-Serverzertifikat nicht von der Stammzertifizierungsstelle signiert wurde, verweigert DDOS die Annahme aller Zertifikate in der Kette, daher kann sich DD nicht sicher mit dem KMIP-Server über SSL verbinden, da es der Aussteller-CA des KMIP-Serverzertifikats nicht vertraut.
Risoluzione
Problemumgehung:
Wenden Sie sich an den Dell Data Domain-Support, um Unterstützung bei der Durchführung dieser Konfiguration außerhalb der regulären CLI und Webbenutzeroberfläche zu erhalten. Dies erfordert keine Ausfallzeiten, benötigt aber Zugriff auf BASH-Ebene, sodass die Datei mit der Vertrauenskette für den KMIP-Server manuell auf dem System erstellt werden kann.
Dauerhafte Lösung:
Es gibt keine Zielversion für diese Funktion, die zu DDOS hinzugefügt werden soll, sodass bei der Konfiguration von KMIP für externe Key-Manager alle Zwischenzertifikate von der CLI oder der Webbenutzeroberfläche importiert werden können, wenn die Signierungs-CA nicht das Stammzertifikat ist.
Wenden Sie sich an den Dell Data Domain-Support, um Unterstützung bei der Durchführung dieser Konfiguration außerhalb der regulären CLI und Webbenutzeroberfläche zu erhalten. Dies erfordert keine Ausfallzeiten, benötigt aber Zugriff auf BASH-Ebene, sodass die Datei mit der Vertrauenskette für den KMIP-Server manuell auf dem System erstellt werden kann.
Dauerhafte Lösung:
Es gibt keine Zielversion für diese Funktion, die zu DDOS hinzugefügt werden soll, sodass bei der Konfiguration von KMIP für externe Key-Manager alle Zwischenzertifikate von der CLI oder der Webbenutzeroberfläche importiert werden können, wenn die Signierungs-CA nicht das Stammzertifikat ist.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.