Data Domain: Configureren van extern sleutelbeheer (KMIP) mislukt wanneer er een vertrouwensketen is voor het KMIP-servercertificaat
概要: Bij het configureren van een extern sleutelbeheer (KIMP), als de vertrouwensrelatie tussen de DD en de KMIP-server via een vertrouwensketen is (KMIP-certificaat wordt niet uitgegeven door een root-CA, maar door een tussenliggende CA), kan dit niet correct worden geconfigureerd vanuit de DD CLI of de gebruikersinterface. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
De CLI of webinterface kan worden gebruikt om een externe sleutelbeheer in te stellen met behulp van het KMIP-protocol, voor FS-versleuteling of andere toepassingen.
Op een bepaald moment in het proces vraagt DD om het openbare certificaat dat overeenkomt met de hoofdmap van de certificeringsinstantie (CA) die wordt gebruikt om te ondertekenen voor het certificaat dat wordt gebruikt door de KMIP-server om zichzelf te verifiëren.
Als het KMIP-certificaat niet is uitgegeven door de CA-hoofdmap, maar door een tussenliggende CA, moeten alle openbare certificaten van de tussenliggende CA's worden doorgegeven aan de DD, samengevoegd in tekst, PEM-vorm.
In dit geval is het geval, ondanks dat het bestand met de vertrouwensketen correct is, zal de DD het SSL-certificaat van de KMIP-server niet vertrouwen en fouten zoals hieronder worden weergegeven in de logboeken (ddfs.info / messages.engineering / kmip.log):
Met de status van de externe sleutelbeheer zoals hieronder weergegeven in de DD CLI (filesys encryption key-manager show):
Op een bepaald moment in het proces vraagt DD om het openbare certificaat dat overeenkomt met de hoofdmap van de certificeringsinstantie (CA) die wordt gebruikt om te ondertekenen voor het certificaat dat wordt gebruikt door de KMIP-server om zichzelf te verifiëren.
Als het KMIP-certificaat niet is uitgegeven door de CA-hoofdmap, maar door een tussenliggende CA, moeten alle openbare certificaten van de tussenliggende CA's worden doorgegeven aan de DD, samengevoegd in tekst, PEM-vorm.
In dit geval is het geval, ondanks dat het bestand met de vertrouwensketen correct is, zal de DD het SSL-certificaat van de KMIP-server niet vertrouwen en fouten zoals hieronder worden weergegeven in de logboeken (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Met de status van de externe sleutelbeheer zoals hieronder weergegeven in de DD CLI (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
Vanaf maart 2023 is de CLI- en webinterfaceworkflow zodanig dat DDOS het importeren van meerdere CA-certificaten voor KMIP niet toestaat. Dit is naar ontwerp.
Wanneer het KMIP-servercertificaat niet is ondertekend door de root-CA, weigert DDOS alle certificaten in de keten te accepteren. Daarom kan de DD geen veilige verbinding maken met KMIP-server via SSL, omdat het de certificeringsinstantie (tussenliggende) CA van het KMIP-servercertificaat niet vertrouwt.
Wanneer het KMIP-servercertificaat niet is ondertekend door de root-CA, weigert DDOS alle certificaten in de keten te accepteren. Daarom kan de DD geen veilige verbinding maken met KMIP-server via SSL, omdat het de certificeringsinstantie (tussenliggende) CA van het KMIP-servercertificaat niet vertrouwt.
解決方法
Tijdelijke oplossing:
Neem contact op met DELL Data Domain Support voor hulp bij het uitvoeren van deze configuratie buiten de reguliere CLI en webinterface. Dit vereist geen downtime, maar vereist toegang op BASH-niveau, zodat het bestand met de chain of trust voor de KMIP-server handmatig op het systeem kan worden gebouwd.
Permanente oplossing:
Er is geen doelrelease om deze functionaliteit toe te voegen aan DDOS, zodat bij het configureren van KMIP voor externe sleutelmanagers, als de ondertekenings-CA niet de root is, alle tussenliggende certificaten kunnen worden geïmporteerd uit de CLI of de webinterface.
Neem contact op met DELL Data Domain Support voor hulp bij het uitvoeren van deze configuratie buiten de reguliere CLI en webinterface. Dit vereist geen downtime, maar vereist toegang op BASH-niveau, zodat het bestand met de chain of trust voor de KMIP-server handmatig op het systeem kan worden gebouwd.
Permanente oplossing:
Er is geen doelrelease om deze functionaliteit toe te voegen aan DDOS, zodat bij het configureren van KMIP voor externe sleutelmanagers, als de ondertekenings-CA niet de root is, alle tussenliggende certificaten kunnen worden geïmporteerd uit de CLI of de webinterface.
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。