Data Domain: Konfigurace nástroje KMIP (External Key Manager) se nezdaří, pokud certifikát serveru KMIP vytvoří řetězec certifikátů
概要: Pokud při konfiguraci správce externích klíčů (DDP) důvěřujete mezi systémem DD a serverem KMIP prostřednictvím řetězce certifikátů (certifikát KMIP není vydán kořenovým certifikačním autoritou, ale zprostředkující certifikační autoritou), nelze to správně konfigurovat z příkazového řádku DD ani uživatelského rozhraní. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Rozhraní příkazového řádku nebo webového uživatelského rozhraní lze použít k nastavení správce externích klíčů pomocí protokolu KMIP pro šifrování FS nebo pro jiné použití.
V určitém okamžiku procesu požádá systém DD o veřejný certifikát odpovídající kořenovému adresáři certifikační autority (CA) použitému k přihlášení k certifikátu používanému serverem KMIP k ověření.
Pokud nebyl certifikát KMIP vydán kořenovým adresářem certifikační autority, ale zprostředkující certifikační autoritou, všechny veřejné certifikáty zprostředkujících certifikačních autorit by musely být předány do systému DD zřetězené v textovém formuláři PEM.
V tomto případě se navzdory správnému řetězci certifikátů systému DD nepodaří důvěřovat certifikátu SSL serveru KMIP a v protokolech (ddfs.info / messages.engineering / kmip.log) se zobrazí chyby jako níže:
Stav nástroje External Key Manager je uveden níže v rozhraní příkazového řádku DD (příkaz filesys encryption key-manager):
V určitém okamžiku procesu požádá systém DD o veřejný certifikát odpovídající kořenovému adresáři certifikační autority (CA) použitému k přihlášení k certifikátu používanému serverem KMIP k ověření.
Pokud nebyl certifikát KMIP vydán kořenovým adresářem certifikační autority, ale zprostředkující certifikační autoritou, všechny veřejné certifikáty zprostředkujících certifikačních autorit by musely být předány do systému DD zřetězené v textovém formuláři PEM.
V tomto případě se navzdory správnému řetězci certifikátů systému DD nepodaří důvěřovat certifikátu SSL serveru KMIP a v protokolech (ddfs.info / messages.engineering / kmip.log) se zobrazí chyby jako níže:
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Stav nástroje External Key Manager je uveden níže v rozhraní příkazového řádku DD (příkaz filesys encryption key-manager):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
Od března 2023 je pracovní postup rozhraní příkazového řádku a webového uživatelského rozhraní takový, aby systém DDOS neumožňoval import více certifikátů CA, kterým může služba KMIP důvěřovat. Jedná se o záměrné chování.
Pokud není certifikát serveru KMIP podepsán kořenovým certifikačním autoritou, systém DDOS odmítne přijmout všechny certifikáty v řetězci, a proto se systém DD nemůže bezpečně připojit k serveru KMIP pomocí protokolu SSL, protože nebude důvěřovat vydavateli (přechodnému) certifikátu serveru KMIP.
Pokud není certifikát serveru KMIP podepsán kořenovým certifikačním autoritou, systém DDOS odmítne přijmout všechny certifikáty v řetězci, a proto se systém DD nemůže bezpečně připojit k serveru KMIP pomocí protokolu SSL, protože nebude důvěřovat vydavateli (přechodnému) certifikátu serveru KMIP.
解決方法
Zástupné řešení:
Obraťte se na podporu DELL Data Domain, která vám pomůže s prováděním této konfigurace mimo běžné rozhraní příkazového řádku a webového uživatelského rozhraní. To bude vyžadovat žádné prostoje, ale vyžaduje přístup na úrovni BASH, aby byl soubor s řetězcem důvěryhodnosti pro server KMIP vytvořen v systému ručně.
Trvalé řešení:
Pro přidání této funkce do systému DDOS neexistuje žádná cílová verze, takže při konfiguraci protokolu KMIP pro správce externích klíčů, pokud podepisovací certifikační autorita není kořenovým řešením, lze importovat všechny zprostředkující certifikáty z rozhraní CLI nebo z webového uživatelského rozhraní.
Obraťte se na podporu DELL Data Domain, která vám pomůže s prováděním této konfigurace mimo běžné rozhraní příkazového řádku a webového uživatelského rozhraní. To bude vyžadovat žádné prostoje, ale vyžaduje přístup na úrovni BASH, aby byl soubor s řetězcem důvěryhodnosti pro server KMIP vytvořen v systému ručně.
Trvalé řešení:
Pro přidání této funkce do systému DDOS neexistuje žádná cílová verze, takže při konfiguraci protokolu KMIP pro správce externích klíčů, pokud podepisovací certifikační autorita není kořenovým řešením, lze importovat všechny zprostředkující certifikáty z rozhraní CLI nebo z webového uživatelského rozhraní.
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。