Data Domain: KMIP 서버 인증서에 대한 신뢰 체인이 있는 경우 KMIP(External Key Manager) 구성이 실패합니다.

CLI 또는 웹 UI를 사용하여 KMIP 프로토콜을 사용하여 외부 Key Manager를 설정하여 FS 암호화 또는 기타 용도로 사용할 수 있습니다.

프로세스의 어느 시점에서 DD는 KMIP 서버가 자체 인증에 사용하는 인증서에 서명하는 데 사용되는 CA(Certification Authority) 루트에 해당하는 공용 인증서를 요청합니다.
KMIP 인증서가 CA 루트에서 발급되지 않았지만 중간 CA에 의해 발행된 경우 모든 중간 CA의 공개 인증서를 텍스트 형식으로 연결된 DD에 전달해야 합니다.

이 경우 신뢰 체인이 올바른 파일에도 불구하고 DD가 KMIP 서버 SSL 인증서를 신뢰하지 못하며 아래와 같은 오류가 로그(ddfs.info/messages.engineering / kmip.log)에 표시됩니다.
 

Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin

03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection

외부 Key Manager 상태가 DD CLI에서 아래와 같이 표시되는 경우(filesys encryption key-manager show):
 

Key manager in use: CipherTrust

Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A

2023년 3월부터 CLI 및 웹 UI 워크플로우가 DDOS에서 KMIP에 대한 여러 CA 인증서의 가져오기를 허용하지 않습니다. 이는 설계에 의한 것입니다.

KMIP 서버 인증서가 루트 CA에 의해 서명되지 않은 경우 DDOS는 체인의 모든 인증서 수락을 거부하므로 DD는 KMIP 서버 인증서의 발급자(중간) CA를 신뢰하지 않기 때문에 SSL을 사용하여 KMIP 서버에 안전하게 연결할 수 없습니다.

해결 방법:
일반 CLI 및 웹 UI 외부에서 이 구성을 수행하는 데 도움이 필요한 경우 DELL Data Domain 지원 부서에 문의하십시오. 이를 위해서는 다운타임이 필요하지 않지만 KMIP 서버에 대한 신뢰 체인이 있는 파일을 시스템에 수동으로 구축할 수 있도록 BASH 레벨 액세스가 필요합니다.

영구 솔루션:
이 기능을 DDOS에 추가할 타겟 릴리스가 없으므로 외부 Key Manager용 KMIP를 구성할 때 서명 CA가 루트 CA가 아닌 경우 CLI 또는 웹 UI에서 모든 중간 인증서를 가져올 수 있습니다.