Data Domain: Det går inte att konfigurera den externa nyckelhanteraren (KMIP) när det finns en certifikatkedja för KMIP-servercertifikatet
概要: Om förtroende mellan DD och KMIP-servern sker via en förtroendekedja (KMIP-certifikatet utfärdas inte av en rotcertifikatutfärdare, men av en mellanliggande certifikatutfärdare) när du konfigurerar en extern nyckelhanterare (DMIP-certifikatet) kan det inte konfigureras korrekt från DD CLI eller användargränssnittet. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
CLI eller webbgränssnittet kan användas för att konfigurera en extern nyckelhanterare med hjälp av KMIP-protokollet, för FS-kryptering eller andra användningsområden.
Någon gång i processen ber DD om det offentliga certifikat som motsvarar roten på certifikatutfärdare (CA) som används för att signera det certifikat som används av KMIP-servern för att autentisera sig själv.
Om KMIP-certifikatet inte har utfärdats av CA-roten, men av en mellanliggande certifikatutfärdare, måste alla offentliga certifikat för mellanliggande certifikat skickas till DD som sammanfogats i textformat, PEM-formulär.
I så fall, trots att filen med certifikatkedjan är korrekt, kommer DD att misslyckas med att lita på KMIP-serverns SSL-certifikat, och fel som nedan visas i loggarna (ddfs.info /messages.engineering / kmip.log):
Statusen för den externa nyckelhanteraren visas som nedan från DD CLI (filesys encryption key-manager show):
Någon gång i processen ber DD om det offentliga certifikat som motsvarar roten på certifikatutfärdare (CA) som används för att signera det certifikat som används av KMIP-servern för att autentisera sig själv.
Om KMIP-certifikatet inte har utfärdats av CA-roten, men av en mellanliggande certifikatutfärdare, måste alla offentliga certifikat för mellanliggande certifikat skickas till DD som sammanfogats i textformat, PEM-formulär.
I så fall, trots att filen med certifikatkedjan är korrekt, kommer DD att misslyckas med att lita på KMIP-serverns SSL-certifikat, och fel som nedan visas i loggarna (ddfs.info /messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Statusen för den externa nyckelhanteraren visas som nedan från DD CLI (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
原因
Från och med mars 2023 är CLI-arbetsflödet och webbgränssnittets arbetsflöde sådan att DDOS inte tillåter import av flera CA-certifikat som kmip kan lita på. Det är avsiktligt.
När KMIP-servercertifikatet inte är signerat för rotcertifikatutfärdaren vägrar DDOS att ta emot alla certifikat i kedjan, vilket innebär att DD inte kan ansluta säkert till KMIP-servern med hjälp av SSL, eftersom den inte litar på utfärdaren för KMIP-servercertifikatet (mellanliggande) CA.
När KMIP-servercertifikatet inte är signerat för rotcertifikatutfärdaren vägrar DDOS att ta emot alla certifikat i kedjan, vilket innebär att DD inte kan ansluta säkert till KMIP-servern med hjälp av SSL, eftersom den inte litar på utfärdaren för KMIP-servercertifikatet (mellanliggande) CA.
解決方法
Lösning: Kontakta DELL Data Domain-supporten
för att få hjälp med att utföra den här konfigurationen utanför det vanliga CLI- och webbgränssnittet. Detta kräver inget driftavbrott, men behöver åtkomst till BASH-nivå så att filen med betrodd kedja för KMIP-servern kan byggas manuellt i systemet.
Permanent lösning:
Det finns ingen målversion för den här funktionen som ska läggas till i DDOS, så när du konfigurerar KMIP för externa nyckelhanterare kan alla mellanliggande certifikat importeras från CLI eller webbgränssnittet om certifikatutfärdare för signering inte är roten.
för att få hjälp med att utföra den här konfigurationen utanför det vanliga CLI- och webbgränssnittet. Detta kräver inget driftavbrott, men behöver åtkomst till BASH-nivå så att filen med betrodd kedja för KMIP-servern kan byggas manuellt i systemet.
Permanent lösning:
Det finns ingen målversion för den här funktionen som ska läggas till i DDOS, så när du konfigurerar KMIP för externa nyckelhanterare kan alla mellanliggande certifikat importeras från CLI eller webbgränssnittet om certifikatutfärdare för signering inte är roten.
対象製品
Data Domain文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。