Data Domain:當 KMIP 伺服器憑證有信任鏈時,設定外部金鑰管理器 (KMIP) 會失敗

概要: 設定外部金鑰管理器 (KIMP) 時,如果 DD 與 KMIP 伺服器之間的信任是透過信任鏈結 (KMIP 憑證並非由根 CA 發出,而是由中繼 CA 發出),則無法從 DD CLI 或 UI 正確設定。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

CLI 或 Web UI 可用來使用 KMIP 通訊協定設定外部金鑰管理器,以供 FS 加密或其他用途使用。

在程式的某個時間點,DD 會要求與認證機構 (CA) 根憑證相對應的公有憑證,該憑證用於簽署 KMIP 伺服器用來驗證自己的憑證。
如果 KMIP 憑證並非由 CA root 發出,而是由中繼 CA 發出,則所有中繼 CAS 的公有憑證都必須傳遞至以文本形式 (PEM) 形式循序的 DD。

在這種情況下,儘管檔案的信任鏈結是正確的,DD 將無法信任 KMIP 伺服器 SSL 憑證,而且在記錄 (ddfs.info/messages.engineering/kmip.log) 中會出現下列錯誤:
  
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin

03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection

DD CLI 的外部金鑰管理器狀態如下所示 (filesys encryption key-manager show):
  
Key manager in use: CipherTrust

Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A

原因

自 2023 年 3 月起,CLI 和 Web UI 工作流程使得 DDOS 不允許匯入多個 CA 憑證,讓 KMIP 信任。這是設計設計。

當 ROOT CA 未簽署 KMIP 伺服器憑證時,DDOS 拒絕接受鏈結中的所有憑證,因此 DD 無法使用 SSL 安全地連線至 KMIP 伺服器,因為它不信任 KMIP 伺服器憑證的簽發者 (中繼) CA。

解決方法

因應措施:
請聯絡 DELL Data Domain 支援,以取得在一般 CLI 和 Web UI 之外執行此組態的協助。這不需要停機時間,但需要 BASH 層級存取,才能在系統上手動建立具有 KMIP 伺服器信任鏈結的檔案。

永久解決方案:
此功能沒有要新增至 DDOS 的目標版本,因此在為外部金鑰管理器設定 KMIP 時,如果簽署 CA 不是 root 一,則可從 CLI 或 Web UI 匯入所有中繼憑證。

対象製品

Data Domain
文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン:  3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。