Data Domain: La configuración del administrador de claves externo (KMIP) falla cuando hay una cadena de confianza para el certificado del servidor KMIP
概要: Cuando se configura un administrador de claves externo (KIMP), si la confianza entre DD y el servidor KMIP se realiza a través de una cadena de confianza (el certificado de KMIP no es emitido por una CA raíz, sino por una CA intermedia), esto no se puede configurar correctamente desde la CLI de DD o la UI de. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
La CLI o la interfaz de usuario web se pueden utilizar para configurar un administrador de claves externo mediante el protocolo KMIP, para el cifrado de FS u otros usos.
En algún momento del proceso, DD solicita el certificado público correspondiente a la raíz de la autoridad de certificación (CA) utilizada para firmar el certificado utilizado por el servidor KMIP para autenticarse.
Si el certificado KMIP no fue emitido por la raíz de CA, sino por una CA intermedia, todos los certificados públicos de CA intermedias tendrían que pasarse al DD concatenado en forma textual de PEM.
En este caso, a pesar de que el archivo con la cadena de confianza es correcta, DD no confiará en el certificado SSL del servidor KMIP y se observarán errores como los siguientes en los registros (ddfs.info / messages.engineering / kmip.log):
El estado del administrador de claves externo se muestra como se muestra a continuación desde la CLI de DD (filesys encryption key-manager show):
En algún momento del proceso, DD solicita el certificado público correspondiente a la raíz de la autoridad de certificación (CA) utilizada para firmar el certificado utilizado por el servidor KMIP para autenticarse.
Si el certificado KMIP no fue emitido por la raíz de CA, sino por una CA intermedia, todos los certificados públicos de CA intermedias tendrían que pasarse al DD concatenado en forma textual de PEM.
En este caso, a pesar de que el archivo con la cadena de confianza es correcta, DD no confiará en el certificado SSL del servidor KMIP y se observarán errores como los siguientes en los registros (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
El estado del administrador de claves externo se muestra como se muestra a continuación desde la CLI de DD (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
A partir de marzo de 2023, el flujo de trabajo de la CLI y la interfaz de usuario web es tal que DDOS no permite la importación de varios certificados de CA para que KMIP confíe. Esto es por diseño.
Cuando el certificado del servidor KMIP no está firmado por la CA raíz, DDOS se niega a aceptar todos los certificados en la cadena, por lo que DD no puede conectarse de manera segura al servidor KMIP mediante SSL, ya que no confiará en la CA emisora (intermedia) del certificado del servidor KMIP.
Cuando el certificado del servidor KMIP no está firmado por la CA raíz, DDOS se niega a aceptar todos los certificados en la cadena, por lo que DD no puede conectarse de manera segura al servidor KMIP mediante SSL, ya que no confiará en la CA emisora (intermedia) del certificado del servidor KMIP.
解決方法
Solución alternativa:
póngase en contacto con el soporte de DELL Data Domain para obtener ayuda para llevar a cabo esta configuración fuera de la CLI regular y la interfaz de usuario web. Esto no requerirá tiempo de inactividad, pero necesita acceso de nivel BASH para que el archivo con la cadena de confianza para el servidor KMIP se pueda construir manualmente en el sistema.
Solución permanente:
no hay una versión de destino para que esta funcionalidad se agregue a DDOS, de modo que, cuando se configura KMIP para administradores de claves externos, si la CA firmante no es la raíz, todos los certificados intermedios se pueden importar desde la CLI o la interfaz de usuario web.
póngase en contacto con el soporte de DELL Data Domain para obtener ayuda para llevar a cabo esta configuración fuera de la CLI regular y la interfaz de usuario web. Esto no requerirá tiempo de inactividad, pero necesita acceso de nivel BASH para que el archivo con la cadena de confianza para el servidor KMIP se pueda construir manualmente en el sistema.
Solución permanente:
no hay una versión de destino para que esta funcionalidad se agregue a DDOS, de modo que, cuando se configura KMIP para administradores de claves externos, si la CA firmante no es la raíz, todos los certificados intermedios se pueden importar desde la CLI o la interfaz de usuario web.
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。