Data Domain:KMIPサーバー証明書の信頼チェーンがある場合、外部キー マネージャー(KMIP)の構成が失敗する
概要: 外部キー マネージャー(KIMP)を構成する場合、DDとKMIPサーバー間の信頼が信頼チェーンを介している場合(KMIP証明書はルートCAによって発行されず、中間CAによって発行されます)、DD CLIまたはUIから適切に構成することはできません。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
CLIまたはWeb UIを使用して、KMIPプロトコルを使用して外部キー マネージャーをセットアップし、FS暗号化やその他の用途に使用できます。
プロセスのある時点で、DDは、KMIPサーバーが自身を認証するために使用する証明書の署名に使用される認証局(CA)のルートに対応するパブリック証明書を要求します。
KMIP証明書がCAルートによって発行されていないが、中間CAによって発行された場合、中間CAのパブリック証明書はすべて、テキスト形式のPEM形式で連結されたDDに渡す必要があります。
この場合、信頼チェーンが正しいファイルであるにもかかわらず、DDはKMIPサーバーのSSL証明書を信頼できず、次のようなエラーがログ(ddfs.info/messages.engineering/kmip.log)に表示されます。
外部キー マネージャーのステータスがDD CLIから以下のように表示されている場合(filesys encryption key-manager show):
プロセスのある時点で、DDは、KMIPサーバーが自身を認証するために使用する証明書の署名に使用される認証局(CA)のルートに対応するパブリック証明書を要求します。
KMIP証明書がCAルートによって発行されていないが、中間CAによって発行された場合、中間CAのパブリック証明書はすべて、テキスト形式のPEM形式で連結されたDDに渡す必要があります。
この場合、信頼チェーンが正しいファイルであるにもかかわらず、DDはKMIPサーバーのSSL証明書を信頼できず、次のようなエラーがログ(ddfs.info/messages.engineering/kmip.log)に表示されます。
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
外部キー マネージャーのステータスがDD CLIから以下のように表示されている場合(filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
2023年3月の時点で、CLIとWeb UIのワークフローでは、DDOSはKMIPに対する複数のCA証明書のインポートを信頼できません。これは設計によるものです。
KMIPサーバー証明書がルートCAによって署名されていない場合、DDOSはチェーン内のすべての証明書の受け入れを拒否するため、DDはSSLを使用してKMIPサーバーに安全に接続できません。これは、KMIPサーバー証明書の発行者(中間)CAを信頼しないためです。
KMIPサーバー証明書がルートCAによって署名されていない場合、DDOSはチェーン内のすべての証明書の受け入れを拒否するため、DDはSSLを使用してKMIPサーバーに安全に接続できません。これは、KMIPサーバー証明書の発行者(中間)CAを信頼しないためです。
解決方法
対策 :
通常のCLIおよびWeb UIの外部でこの構成を実行するサポートについては、Dell Data Domainサポートにお問い合わせください。これにはダウンタイムは必要ありませんが、KMIPサーバーの信頼チェーンを持つファイルをシステム上に手動で構築できるように、BASHレベルのアクセスが必要です。
永続的な解決策:
この機能をDDOSに追加するターゲット リリースはありません。そのため、外部キー マネージャー用にKMIPを構成する際に、署名CAがrootでない場合は、CLIまたはWeb UIからすべての中間証明書をインポートできます。
通常のCLIおよびWeb UIの外部でこの構成を実行するサポートについては、Dell Data Domainサポートにお問い合わせください。これにはダウンタイムは必要ありませんが、KMIPサーバーの信頼チェーンを持つファイルをシステム上に手動で構築できるように、BASHレベルのアクセスが必要です。
永続的な解決策:
この機能をDDOSに追加するターゲット リリースはありません。そのため、外部キー マネージャー用にKMIPを構成する際に、署名CAがrootでない場合は、CLIまたはWeb UIからすべての中間証明書をインポートできます。
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。