Data Domain:当 KMIP 服务器证书存在信任链时,配置外部密钥管理器 (KMIP) 失败

概要: 配置外部密钥管理器 (KIMP) 时,如果 DD 和 KMIP 服务器之间的信任通过信任链(KMIP 证书不是由根 CA 颁发,而是由中间 CA 颁发),则无法从 DD CLI 或 UI 正确配置。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

CLI 或 Web UI 可用于使用 KMIP 协议设置外部密钥管理器,以用于 FS 加密或其他用途。

在此过程中的某个时间点,DD 要求提供与用于为 KMIP 服务器用于进行身份验证的证书签名的认证机构 (CA) 根目录对应的公用证书。
如果 KMIP 证书不是由 CA 根颁发,而是由中间 CA 颁发,则必须将所有中间 CA 的公共证书传递给以文本形式(PEM)合并的 DD。

在这种情况下,尽管文件的信任链正确无误,但 DD 将无法信任 KMIP 服务器 SSL 证书,并且日志(ddfs.info/messages.engineering / kmip.log)中会出现如下错误:
  
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin

03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection

外部密钥管理器状态显示如下,来自 DD CLI(filesys encryption key-manager show):
  
Key manager in use: CipherTrust

Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A

原因

自 2023 年 3 月起,CLI 和 Web UI 工作流使 DDOS 不允许导入多个 CA 证书以供 KMIP 信任。这是设计而已。

当 ROOT CA 未签署 KMIP 服务器证书时,DDOS 拒绝接受链中的所有证书,因此 DD 无法使用 SSL 安全地连接到 KMIP 服务器,因为它不会信任 KMIP 服务器证书的颁发者(中间)CA。

解決方法

解决方法:
请联系 DELL Data Domain 支持部门,以获得在常规 CLI 和 Web UI 之外执行此配置的帮助。这将不需要停机时间,但需要 BASH 级别访问权限,以便 KMIP 服务器的信任链文件可以在系统上手动构建。

永久解决方案:
此功能没有要添加到 DDOS 的目标版本,因此在为外部密钥管理器配置 KMIP 时,如果签名 CA 不是根 CA,则可以从 CLI 或 Web UI 导入所有中间证书。

対象製品

Data Domain
文書のプロパティ
文書番号: 000211676
文書の種類: Solution
最終更新: 19 7月 2023
バージョン:  3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。