Data Domain: Konfiguration af ekstern nøglehåndtering (KMIP) mislykkes, når der er en tillidskæde til KMIP-servercertifikatet
概要: Når du konfigurerer en ekstern nøglehåndtering (KIMP), og hvis tillid mellem DD og KMIP-serveren foregår gennem en tillidskæde (KMIP-certifikatet ikke udstedes af et rodnøglecenter, men af et mellemliggende nøglecenter), kan dette ikke konfigureres korrekt fra hverken DD CLI eller brugergrænsefladen. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
CLI- eller webbrugergrænsefladen kan bruges til at konfigurere en ekstern nøgleadministrator ved hjælp af KMIP-protokollen, til FS-kryptering eller anden brug.
På et tidspunkt i processen anmoder DD om det offentlige certifikat, der svarer til roden på det nøglecenter, der bruges til at underskrive for det certifikat, der bruges af KMIP-serveren, til at godkende sig selv.
Hvis KMIP-certifikatet ikke blev udstedt af NØGLECENTER-roden, men af et mellemliggende nøglecenter, skal alle de mellemliggende nøglecentres offentlige certifikater overføres til den DD, der er sammenkædet med en tekstbaseret PEM-formular.
I dette tilfælde vil DD ikke have tillid til KMIP-serverens SSL-certifikat, selvom filen er korrekt, og fejl som f.eks. nedenfor kan ses i logfilerne (ddfs.info / messages.engineering / kmip.log):
Status for den eksterne key manager vises som nedenfor fra DD CLI (filys krypteringsnøgleadministrator vises):
På et tidspunkt i processen anmoder DD om det offentlige certifikat, der svarer til roden på det nøglecenter, der bruges til at underskrive for det certifikat, der bruges af KMIP-serveren, til at godkende sig selv.
Hvis KMIP-certifikatet ikke blev udstedt af NØGLECENTER-roden, men af et mellemliggende nøglecenter, skal alle de mellemliggende nøglecentres offentlige certifikater overføres til den DD, der er sammenkædet med en tekstbaseret PEM-formular.
I dette tilfælde vil DD ikke have tillid til KMIP-serverens SSL-certifikat, selvom filen er korrekt, og fejl som f.eks. nedenfor kan ses i logfilerne (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Status for den eksterne key manager vises som nedenfor fra DD CLI (filys krypteringsnøgleadministrator vises):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
Fra og med marts 2023 er arbejdsprocesserne for CLI og webbrugergrænsefladen sådan, at DDOS ikke tillader import af flere CA-certifikater, som KMIP har tillid til. Dette er tilsigtet.
Når KMIP-servercertifikatet ikke er signeret af rodnøglecenteret, nægter DDOS at acceptere alle certifikater i kæden, hvorfor DD ikke kan oprette sikker forbindelse til KMIP-serveren ved hjælp af SSL, fordi det ikke vil have tillid til KMIP-servercertifikatets udsteder (mellemliggende) CA.
Når KMIP-servercertifikatet ikke er signeret af rodnøglecenteret, nægter DDOS at acceptere alle certifikater i kæden, hvorfor DD ikke kan oprette sikker forbindelse til KMIP-serveren ved hjælp af SSL, fordi det ikke vil have tillid til KMIP-servercertifikatets udsteder (mellemliggende) CA.
解決方法
Løsning:
Kontakt DELL Data Domain Support for at få hjælp til at udføre denne konfiguration uden for den almindelige CLI- og webbrugergrænseflade. Dette kræver ingen nedetid, men kræver bash-niveauadgang, så filen med tillidskæden til KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Der er ingen destinationsversion for at føje denne funktionalitet til DDOS, så når du konfigurerer KMIP til eksterne nøgleadministratorer, og hvis signering af CA ikke er root one, kan alle mellemliggende certifikater importeres fra CLI eller webbrugergrænsefladen.
Kontakt DELL Data Domain Support for at få hjælp til at udføre denne konfiguration uden for den almindelige CLI- og webbrugergrænseflade. Dette kræver ingen nedetid, men kræver bash-niveauadgang, så filen med tillidskæden til KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Der er ingen destinationsversion for at føje denne funktionalitet til DDOS, så når du konfigurerer KMIP til eksterne nøgleadministratorer, og hvis signering af CA ikke er root one, kan alle mellemliggende certifikater importeres fra CLI eller webbrugergrænsefladen.
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。