Data Domain : La configuration du gestionnaire de clés externe (KMIP) échoue lorsqu’il existe une chaîne de confiance pour le certificat du serveur KMIP
概要: Lors de la configuration d’un gestionnaire de clés externe (KIMP), si la relation de confiance entre le DD et le serveur KMIP se fait par le biais d’une chaîne d’approbation (le certificat KMIP n’est pas émis par une autorité de certification racine, mais par une autorité de certification intermédiaire), cela ne peut pas être correctement configuré à partir de l’interface de ligne de commande DD ou de l’interface utilisateur. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
L’interface de ligne de commande ou l’interface utilisateur Web peut être utilisée pour configurer un gestionnaire de clés externe à l’aide du protocole KMIP, pour le chiffrement FS ou d’autres utilisations.
À un moment donné du processus, DD demande le certificat public correspondant à la racine de l’autorité de certification (CA) utilisée pour signer le certificat utilisé par le serveur KMIP pour s’authentifier lui-même.
Si le certificat KMIP n’a pas été émis par la racine de l’autorité de certification, mais par une autorité de certification intermédiaire, tous les certificats publics des AC intermédiaires doivent être transmis au DD concaténé sous forme textuelle, PEM.
Dans ce cas, même si le fichier avec la chaîne de confiance est correcte, le DD ne fait pas confiance au certificat SSL du serveur KMIP et des erreurs telles que ci-dessous sont visibles dans les logs (ddfs.info / messages.engineering / kmip.log):
L’état du gestionnaire de clés externe s’affiche comme indiqué ci-dessous à partir de la CLI DD (filesys encryption key-manager show):
À un moment donné du processus, DD demande le certificat public correspondant à la racine de l’autorité de certification (CA) utilisée pour signer le certificat utilisé par le serveur KMIP pour s’authentifier lui-même.
Si le certificat KMIP n’a pas été émis par la racine de l’autorité de certification, mais par une autorité de certification intermédiaire, tous les certificats publics des AC intermédiaires doivent être transmis au DD concaténé sous forme textuelle, PEM.
Dans ce cas, même si le fichier avec la chaîne de confiance est correcte, le DD ne fait pas confiance au certificat SSL du serveur KMIP et des erreurs telles que ci-dessous sont visibles dans les logs (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
L’état du gestionnaire de clés externe s’affiche comme indiqué ci-dessous à partir de la CLI DD (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
À compter de mars 2023, le workflow de l’interface de ligne de commande et de l’interface utilisateur Web est tel que DDOS ne permet pas l’importation de plusieurs certificats d’autorité de certification pour que KMIP puisse faire confiance. Cela est dû à la conception.
Lorsque le certificat du serveur KMIP n’est pas signé par l’autorité de certification racine, DDOS refuse d’accepter tous les certificats de la chaîne. Par conséquent, le DD ne peut pas se connecter en toute sécurité au serveur KMIP à l’aide de SSL, car il ne fait pas confiance à l’émetteur du certificat de serveur KMIP (intermédiaire).
Lorsque le certificat du serveur KMIP n’est pas signé par l’autorité de certification racine, DDOS refuse d’accepter tous les certificats de la chaîne. Par conséquent, le DD ne peut pas se connecter en toute sécurité au serveur KMIP à l’aide de SSL, car il ne fait pas confiance à l’émetteur du certificat de serveur KMIP (intermédiaire).
解決方法
Solution de contournement:
contactez le support DELL Data Domain pour obtenir de l’aide pour effectuer cette configuration en dehors de l’interface de ligne de commande standard et de l’interface utilisateur Web. Cela ne nécessite pas d’arrêt de service, mais nécessite un accès de niveau BASH afin que le fichier avec la chaîne de confiance du serveur KMIP puisse être créé manuellement sur le système.
Solution permanente:
il n’existe aucune version cible pour que cette fonctionnalité soit ajoutée à DDOS. Ainsi, lors de la configuration de KMIP pour les gestionnaires de clés externes, si l’autorité de certification signataire n’est pas la racine, tous les certificats intermédiaires peuvent être importés à partir de la CLI ou de l’interface utilisateur Web.
contactez le support DELL Data Domain pour obtenir de l’aide pour effectuer cette configuration en dehors de l’interface de ligne de commande standard et de l’interface utilisateur Web. Cela ne nécessite pas d’arrêt de service, mais nécessite un accès de niveau BASH afin que le fichier avec la chaîne de confiance du serveur KMIP puisse être créé manuellement sur le système.
Solution permanente:
il n’existe aucune version cible pour que cette fonctionnalité soit ajoutée à DDOS. Ainsi, lors de la configuration de KMIP pour les gestionnaires de clés externes, si l’autorité de certification signataire n’est pas la racine, tous les certificats intermédiaires peuvent être importés à partir de la CLI ou de l’interface utilisateur Web.
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。