Data Domain: A configuração do KMIP (External Key Manager) falha quando há uma cadeia de confiança para o certificado do servidor KMIP
概要: Ao configurar um GERENCIADOR de chaves externo (KIMP), se a confiança entre o DD e o servidor KMIP for por meio de uma cadeia de confiança (o certificado KMIP não é emitido por uma CA raiz, mas por uma CA intermediária), isso não pode ser configurado corretamente a partir da CLI do DD ou da interface do usuário do. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
A CLI ou a interface do usuário da Web pode ser usada para configurar um gerenciador de chaves externo usando o protocolo KMIP, para criptografia FS ou outros usos.
Em algum momento do processo, o DD solicita o certificado público correspondente à raiz da CA (Certification Authority, autoridade de certificação) usada para assinar o certificado usado pelo servidor KMIP para se autenticar.
Se o certificado KMIP não foi emitido pela raiz da CA, mas por uma CA intermediária, todos os certificados públicos dos CAs intermediários precisariam ser passados para o DD concatenado em formato textual, PEM.
Nesse caso, apesar de o arquivo com a cadeia de confiança estar correta, o DD não confiará no certificado SSL do servidor KMIP, e erros como o abaixo serão vistos nos registros (ddfs.info / messages.engineering / kmip.log):
Com o status do gerenciador de chaves externo exibido como abaixo na CLI do DD (filesys encryption key manager show):
Em algum momento do processo, o DD solicita o certificado público correspondente à raiz da CA (Certification Authority, autoridade de certificação) usada para assinar o certificado usado pelo servidor KMIP para se autenticar.
Se o certificado KMIP não foi emitido pela raiz da CA, mas por uma CA intermediária, todos os certificados públicos dos CAs intermediários precisariam ser passados para o DD concatenado em formato textual, PEM.
Nesse caso, apesar de o arquivo com a cadeia de confiança estar correta, o DD não confiará no certificado SSL do servidor KMIP, e erros como o abaixo serão vistos nos registros (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Com o status do gerenciador de chaves externo exibido como abaixo na CLI do DD (filesys encryption key manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
A partir de março de 2023, o fluxo de trabalho da CLI e da IU da Web é tal que o DDOS não permite a importação de vários certificados CA para a confiança do KMIP. Isso é por padrão.
Quando o certificado do servidor KMIP não é assinado pela CA raiz, o DDOS se recusa a aceitar todos os certificados na cadeia, portanto, o DD não pode se conectar com segurança ao servidor KMIP usando SSL, pois não confiará no emissão do certificado do servidor KMIP (intermediário).
Quando o certificado do servidor KMIP não é assinado pela CA raiz, o DDOS se recusa a aceitar todos os certificados na cadeia, portanto, o DD não pode se conectar com segurança ao servidor KMIP usando SSL, pois não confiará no emissão do certificado do servidor KMIP (intermediário).
解決方法
Solução temporária: entre em contato
com o suporte do Dell Data Domain para obter assistência na realização dessa configuração fora da CLI regular e da interface do usuário da Web. Isso não exigirá tempo de inatividade, mas precisa de acesso no nível BASH para que o arquivo com a cadeia de confiança do servidor KMIP possa ser criado manualmente no sistema.
Solução permanente:
não há nenhuma versão de destino para que essa funcionalidade seja adicionada ao DDOS, de modo que, ao configurar o KMIP para gerenciadores de chaves externos, se a CA de assinatura não for a raiz, todos os certificados intermediários poderão ser importados da CLI ou da interface do usuário da Web.
com o suporte do Dell Data Domain para obter assistência na realização dessa configuração fora da CLI regular e da interface do usuário da Web. Isso não exigirá tempo de inatividade, mas precisa de acesso no nível BASH para que o arquivo com a cadeia de confiança do servidor KMIP possa ser criado manualmente no sistema.
Solução permanente:
não há nenhuma versão de destino para que essa funcionalidade seja adicionada ao DDOS, de modo que, ao configurar o KMIP para gerenciadores de chaves externos, se a CA de assinatura não for a raiz, todos os certificados intermediários poderão ser importados da CLI ou da interface do usuário da Web.
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。