Data Domain: KMIP sunucu sertifikası için bir güven zinciri olduğunda harici anahtar yöneticisini (KMIP) yapılandırma başarısız oluyor
Riepilogo: Harici anahtar yöneticisini (KIMP) yapılandırırken, DD ile KMIP sunucusu arasındaki güven bir güven zinciri (KMIP sertifikası bir kök CA tarafından değil, ara CA tarafından) üzerinden sağlanmışsa bu, DD CLI veya KULLANıCı Arayüzünden doğru şekilde yapılandıramaz. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
CLI veya web kullanıcı arayüzü, FS şifrelemesi veya diğer kullanımları için KMIP protokolünü kullanarak harici bir anahtar yöneticisi ayarlamak için kullanılabilir.
Bu işlem sırasında DD, kmip sunucusu tarafından kendi kimliğini doğrulamak üzere kullanılan sertifika için kullanılan Sertifika Yetkilisinin (CA) köküne karşılık gelen genel sertifikayı sorar.
KMIP sertifikası CA kökü tarafından değil, bir ara CA tarafından verilmiştir. Tüm ara CA'ların genel sertifikaları, metinsel ve PEM biçimindeki DD'ye aktarılmalıdır.
Bu durumda, güven zincirinin doğru olduğu dosya olmasına rağmen DD, KMIP sunucusu SSL sertifikasına güvenmez ve günlüklerde aşağıdaki gibi hatalar görülür (ddfs.info/messages.engineering / kmip.log):
Harici anahtar yöneticisi durumu DD CLI'dan aşağıda gösterildiği gibi gösterilir (filesys encryption key-manager show):
Bu işlem sırasında DD, kmip sunucusu tarafından kendi kimliğini doğrulamak üzere kullanılan sertifika için kullanılan Sertifika Yetkilisinin (CA) köküne karşılık gelen genel sertifikayı sorar.
KMIP sertifikası CA kökü tarafından değil, bir ara CA tarafından verilmiştir. Tüm ara CA'ların genel sertifikaları, metinsel ve PEM biçimindeki DD'ye aktarılmalıdır.
Bu durumda, güven zincirinin doğru olduğu dosya olmasına rağmen DD, KMIP sunucusu SSL sertifikasına güvenmez ve günlüklerde aşağıdaki gibi hatalar görülür (ddfs.info/messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Harici anahtar yöneticisi durumu DD CLI'dan aşağıda gösterildiği gibi gösterilir (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Causa
Mart 2023'te cli ve web kullanıcı arayüzü iş akışı, DDOS'un KMIP için birden fazla CA sertifikasının içe aktarılamalarına izin vermez. Bu, tasarım gereğidir.
KMIP sunucu sertifikası kök CA tarafından imzalanmazsa DDOS, zincirdeki tüm sertifikaları kabul etmeyi reddeder, bu nedenle DD, KMIP sunucu sertifikasının sertifikayı aktaran (ara) CA'sine güvenmeyeceği için SSL kullanarak KMIP sunucusuna güvenli bir şekilde bağlanamaz.
KMIP sunucu sertifikası kök CA tarafından imzalanmazsa DDOS, zincirdeki tüm sertifikaları kabul etmeyi reddeder, bu nedenle DD, KMIP sunucu sertifikasının sertifikayı aktaran (ara) CA'sine güvenmeyeceği için SSL kullanarak KMIP sunucusuna güvenli bir şekilde bağlanamaz.
Risoluzione
Geçici çözüm:
Bu yapılandırmayı normal CLI ve web kullanıcı arayüzü dışında gerçekleştirebilmek için DELL Data Domain Destek ile iletişime geçin. Bu işlem kapalı kalma süresi gerektirmez ancak KMIP sunucusu için güven zincirine sahip dosyanın sisteme manuel olarak entegre ılabilmesi için BASH düzeyinde erişime ihtiyaç vardır.
Kalıcı Çözüm:
Bu işlevin DDOS'a eklanması için bir hedef sürümü mevcut değildir. Bu nedenle harici anahtar yöneticileri için KMIP'yi yapılandırırken, imzalama CA'sı kök sertifika değilse tüm ara sertifikalar CLI'den veya web kullanıcı arayüzünden içe aktarılabilir.
Bu yapılandırmayı normal CLI ve web kullanıcı arayüzü dışında gerçekleştirebilmek için DELL Data Domain Destek ile iletişime geçin. Bu işlem kapalı kalma süresi gerektirmez ancak KMIP sunucusu için güven zincirine sahip dosyanın sisteme manuel olarak entegre ılabilmesi için BASH düzeyinde erişime ihtiyaç vardır.
Kalıcı Çözüm:
Bu işlevin DDOS'a eklanması için bir hedef sürümü mevcut değildir. Bu nedenle harici anahtar yöneticileri için KMIP'yi yapılandırırken, imzalama CA'sı kök sertifika değilse tüm ara sertifikalar CLI'den veya web kullanıcı arayüzünden içe aktarılabilir.
Prodotti interessati
Data DomainProprietà dell'articolo
Numero articolo: 000211676
Tipo di articolo: Solution
Ultima modifica: 19 lug 2023
Versione: 3
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.