Data Domain. Настройка внешнего диспетчера ключей (KMIP) завершается сбоем при наличии цепочки доверия для сертификата сервера KMIP
概要: Если при настройке внешнего диспетчера ключей (KIMP) доверие между DD и сервером KMIP обеспечивается посредством цепочки доверия (сертификат KMIP выдается не корневым ЦС, а промежуточным ЦС), это не может быть правильно настроено либо из интерфейса командной строки DD, либо из пользовательского интерфейса. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Интерфейс командной строки или веб-интерфейс можно использовать для настройки внешнего диспетчера ключей с использованием протокола KMIP, для шифрования файловой системы или других сценариев использования.
В какой-то момент процесса DD запрашивает общедоступный сертификат, соответствующий корневому каталогу центра сертификации (CA), который используется для подписи сертификата, используемого сервером KMIP для самотестирования.
Если сертификат KMIP был выдатирован не корнем ЦС, а промежуточным ЦС, все публичные сертификаты промежуточных ЦС должны быть переданы в DD, объединенную в текстовую форму PEM.
В этом случае, несмотря на правильность файла с цепочкой доверия, DD не будет доверять сертификату SSL сервера KMIP, и в журналах будут отображаться ошибки, подобные приведенным ниже (ddfs.info / messages.engineering / kmip.log):
Состояние внешнего диспетчера ключей отображается, как показано ниже, из интерфейса командной строки DD (filesys encryption key-manager show):
В какой-то момент процесса DD запрашивает общедоступный сертификат, соответствующий корневому каталогу центра сертификации (CA), который используется для подписи сертификата, используемого сервером KMIP для самотестирования.
Если сертификат KMIP был выдатирован не корнем ЦС, а промежуточным ЦС, все публичные сертификаты промежуточных ЦС должны быть переданы в DD, объединенную в текстовую форму PEM.
В этом случае, несмотря на правильность файла с цепочкой доверия, DD не будет доверять сертификату SSL сервера KMIP, и в журналах будут отображаться ошибки, подобные приведенным ниже (ddfs.info / messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Состояние внешнего диспетчера ключей отображается, как показано ниже, из интерфейса командной строки DD (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
По состоянию на март 2023 года рабочий процесс интерфейса командной строки и веб-интерфейса таков, что DDOS не позволяет импортировать несколько сертификатов ЦС для KMIP в доверие. Это разработка.
Если сертификат сервера KMIP не подписан корневым ЦС, DDOS отказывается принимать все сертификаты в цепочке, поэтому DD не может безопасно подключиться к серверу KMIP с использованием SSL, так как он не будет доверять ЦС-файлу сертификата сервера KMIP (промежуточный).
Если сертификат сервера KMIP не подписан корневым ЦС, DDOS отказывается принимать все сертификаты в цепочке, поэтому DD не может безопасно подключиться к серверу KMIP с использованием SSL, так как он не будет доверять ЦС-файлу сертификата сервера KMIP (промежуточный).
解決方法
Временное решение:Обратитесь в
службу поддержки Dell Data Domain за помощью в выполнении этой конфигурации за пределами обычного интерфейса командной строки и веб-интерфейса пользователя. Для этого не требуется простоев, но требуется доступ на уровне BASH, чтобы файл с цепочкой доверия для сервера KMIP можно было вручную со встроенной системой.
Окончательное решение.Нет
целевого выпуска для этой функции, которую необходимо добавить в DDOS, поэтому при настройке KMIP для внешних диспетчеров ключей, если ЦС подписи не является корневым, все промежуточные сертификаты можно импортировать из интерфейса командной строки или веб-интерфейса пользователя.
службу поддержки Dell Data Domain за помощью в выполнении этой конфигурации за пределами обычного интерфейса командной строки и веб-интерфейса пользователя. Для этого не требуется простоев, но требуется доступ на уровне BASH, чтобы файл с цепочкой доверия для сервера KMIP можно было вручную со встроенной системой.
Окончательное решение.Нет
целевого выпуска для этой функции, которую необходимо добавить в DDOS, поэтому при настройке KMIP для внешних диспетчеров ключей, если ЦС подписи не является корневым, все промежуточные сертификаты можно импортировать из интерфейса командной строки или веб-интерфейса пользователя.
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。