Data Domain: La configurazione di Gestione delle chiavi esterna (KMIP) non riesce quando è presente una catena di attendibilità per il certificato del server KMIP
概要: Quando si configura un gestore di chiavi esterno (KIMP), se l'attendibilità tra DD e il server KMIP avviene tramite una catena di attendibilità (il certificato KMIP non è emesso da una CA radice, ma da una CA intermedia), ciò non può essere configurato correttamente dalla CLI di DD o dall'interfaccia utente. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
La CLI o l'interfaccia utente web può essere utilizzata per configurare un gestore di chiavi esterno utilizzando il protocollo KMIP, per la crittografia FS o altri utilizzi.
A un certo punto del processo, DD richiede il certificato pubblico corrispondente alla radice dell'autorità di certificazione (CA) utilizzata per firmare il certificato utilizzato dal server KMIP per eseguire l'autenticazione.
Se il certificato KMIP non è stato emesso dalla radice della CA, ma da una CA intermedia, tutti i certificati pubblici delle CA intermedie dovrebbero essere passati al DD concatenato in formato testuale PEM.
In questo caso, nonostante il file con la catena di attendibilità corretta, DD non riuscirà a considerare attendibile il certificato SSL del server KMIP e nei registri vengono visualizzati errori come quelli riportati di seguito (ddfs.info /messages.engineering / kmip.log):
Con lo stato di gestione delle chiavi esterno visualizzato di seguito dalla CLI DD (filesys encryption key-manager show):
A un certo punto del processo, DD richiede il certificato pubblico corrispondente alla radice dell'autorità di certificazione (CA) utilizzata per firmare il certificato utilizzato dal server KMIP per eseguire l'autenticazione.
Se il certificato KMIP non è stato emesso dalla radice della CA, ma da una CA intermedia, tutti i certificati pubblici delle CA intermedie dovrebbero essere passati al DD concatenato in formato testuale PEM.
In questo caso, nonostante il file con la catena di attendibilità corretta, DD non riuscirà a considerare attendibile il certificato SSL del server KMIP e nei registri vengono visualizzati errori come quelli riportati di seguito (ddfs.info /messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Con lo stato di gestione delle chiavi esterno visualizzato di seguito dalla CLI DD (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
A partire da marzo 2023, la CLI e il flusso di lavoro dell'interfaccia utente web sono tali che DDOS non consente l'importazione di più certificati CA per l'attendibilità di KMIP. Questa è la progettazione.
Se il certificato del server KMIP non è firmato dalla CA radice, DDOS rifiuta di accettare tutti i certificati nella catena, pertanto DD non può connettersi in modo sicuro al server KMIP utilizzando SSL, perché non considera attendibile la CA di emissione (intermedia) del certificato del server KMIP.
Se il certificato del server KMIP non è firmato dalla CA radice, DDOS rifiuta di accettare tutti i certificati nella catena, pertanto DD non può connettersi in modo sicuro al server KMIP utilizzando SSL, perché non considera attendibile la CA di emissione (intermedia) del certificato del server KMIP.
解決方法
Soluzione alternativa:
Contattare il supporto di DELL Data Domain per assistenza nell'esecuzione di questa configurazione al di fuori della normale INTERFACCIA a riga di comando e interfaccia utente web. Ciò non richiederà tempi di inattività, ma richiede l'accesso a livello BASH in modo che il file con la catena di attendibilità per il server KMIP possa essere costruito manualmente sul sistema.
Soluzione permanente:
non esiste una versione di destinazione per questa funzionalità da aggiungere a DDOS, pertanto, durante la configurazione di KMIP per i gestori di chiavi esterni, se la CA di firma non è quella root, tutti i certificati intermedi possono essere importati dalla CLI o dall'interfaccia utente web.
Contattare il supporto di DELL Data Domain per assistenza nell'esecuzione di questa configurazione al di fuori della normale INTERFACCIA a riga di comando e interfaccia utente web. Ciò non richiederà tempi di inattività, ma richiede l'accesso a livello BASH in modo che il file con la catena di attendibilità per il server KMIP possa essere costruito manualmente sul sistema.
Soluzione permanente:
non esiste una versione di destinazione per questa funzionalità da aggiungere a DDOS, pertanto, durante la configurazione di KMIP per i gestori di chiavi esterni, se la CA di firma non è quella root, tutti i certificati intermedi possono essere importati dalla CLI o dall'interfaccia utente web.
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。