青梅：OpenManage Enterpriseの移行に必要な証明書チェーンの問題のトラブルシューティング

アプライアンスの移行プロセスでは、相互TLS (mTLS)を活用します。このタイプの相互認証は、デフォルトでは何も信頼されないゼロトラスト セキュリティ フレームワーク内で使用されます。

一般的なTLS交換では、サーバーはTLS証明書と公開キーとプライベート キーのペアを保持します。クライアントはサーバー証明書を検証し、暗号化されたセッションを介した情報交換に進みます。mTLSでは、クライアントとサーバーの両方がデータの交換を開始する前に証明書を検証します。

サード パーティーの署名済み証明書を利用するOpenManage Enterpriseアプライアンスでは、移行操作を続行する前に証明書チェーンをアップロードする必要があります。証明書チェーンは、SSL/TLS証明書と認証局(CA)証明書を含む証明書の番号付きリストです。チェーンはスタンドアロン証明書で始まり、その後にチェーン内の次の証明書で識別されるエンティティによって署名された証明書が続きます。

• Certificate = CA署名済み証明書(スタンドアロン)
• 証明書チェーン = CA署名済み証明書 + 中間CA証明書（存在する場合） + ルートCA証明書

証明書チェーンは、次の要件を満たしている必要があります。そうでない場合は、管理者にエラーが表示されます。
 

移行の証明書チェーン要件 

1. 証明書署名要求キーの一致 - 証明書のアップロード中に、証明書署名要求(CSR)キーがチェックされます。OpenManage Enterpriseは、そのアプライアンスによって署名済み証明書リクエスト(CSR)を使用して要求された証明書のアップロードのみをサポートします。この検証チェックは、アップロード時に単一のサーバー証明書と証明書チェーンの両方に対して実行されます。
2. 証明書のエンコード - 証明書ファイルにはBase 64エンコードが必要です。認証局からエクスポートされた証明書を保存する場合は、Base 64エンコーディングが使用されていることを確認してください。使用しない場合、証明書ファイルは無効と見なされます。
3. 証明書の拡張キー使用の検証 - サーバー認証とクライアント認証の両方でキーの使用が有効になっていることを確認します。これは、移行がソースとターゲット間の双方向通信であり、情報交換中にどちらかがサーバーとしてもクライアントとしても機能できるためです。単一のサーバー証明書の場合は、サーバー認証のみが必要です。
4. キー暗号化で証明書が有効になっている - 証明書の生成に使用する証明書テンプレートには、キー暗号化が含まれている必要があります。これにより、証明書内のキーを使用して通信を暗号化できるようになります。
5. ルート証明書を含む証明書チェーン:証明書には、ルート証明書を含む完全なチェーンが含まれています。これは、ソースとターゲットの両方が信頼できることを保証するために必要です。ルート証明書は、各アプライアンスの信頼できるルート ストアに追加されます。重要：OpenManage Enterpriseは、証明書チェーン内で最大10のリーフ証明書をサポートします。
6. 発行先と発行元 - ルート証明書はトラスト アンカーとして使用され、そのトラスト アンカーに対してチェーン内のすべての証明書を検証するために使用されます。証明書チェーンにルート証明書が含まれていることを確認します。

証明書チェーンのアップロード操作

完全な証明書チェーンを取得したら、OpenManage Enterprise管理者は、Web UIの[アプリケーション設定] > [セキュリティ]-[証明書]を使用してチェーンをアップロードする必要があります。

証明書が要件を満たしていない場合は、Web UIに次のいずれかのエラーが表示されます。

• CGEN1008 - Unable to process the request because an error occurred
• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

次のセクションでは、エラー、条件付きトリガー、および修復方法について説明します。

• CGEN1008 - Unable to process the request because an error occurred.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

「 CGEN1008 次のいずれかのエラー条件が満たされている場合、エラーが表示されます。

• 証明書チェーンのCSRキーが無効
  • OpenManage Enterprise Web UIからCSRを使用して証明書が生成されたことを確認します。OpenManage Enterpriseでは、CSRを使用して生成されていない証明書を同じアプライアンスからアップロードすることはできません。
  • コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• 証明書チェーンが無効
  • ルート認証局とすべての中間認証局の証明書を証明書に含める必要があります。
  • コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• リーフ証明書に共通名が見つからない - すべての証明書に共通名を含める必要があり、ワイルドカード(*)は含めないでください。

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• クライアントおよびサーバー認証の拡張キー使用(EKU)がリーフ証明書に存在しない
  • 証明書には、拡張キー使用のためのサーバー認証とクライアント認証の両方が含まれている必要があります。
  • コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• 拡張キー使用に関する証明書の詳細を確認します。いずれかが見つからない場合は、証明書の生成に使用するテンプレートが両方で有効になっていることを確認します。

 

• キーの使用に関するキー暗号化がない
  • アップロードする証明書には、キー使用のためのキー暗号化がリストされている必要があります。
  • コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• キーの使用に関する証明書の詳細を確認します。証明書の生成に使用するテンプレートで、キー暗号化が有効になっていることを確認します。

 
 

• CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.

  CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
  Make sure the CA certificate and private key are correct and retry the operation.

  

 「 CSEC9002 次のいずれかのエラー条件が満たされている場合、エラーが表示されます。 

• サーバー証明書にキーの暗号化がない
  • 証明書の生成に使用するテンプレートで、キー暗号化が有効になっていることを確認します。移行に証明書を利用する場合は、単一のサーバー証明書ではなく、完全な証明書チェーンをアップロードするようにしてください。
  • コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• 証明書ファイルに誤ったエンコーディングが含まれている
  • Base 64エンコーディングを使用して証明書ファイルが保存されていることを確認します。
  • コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

移行接続の検証操作

証明書チェーンが正常にアップロードされたら、移行プロセスは次のステップであるソース コンソールとターゲット コンソール間の接続の確立に進むことができます。このステップでは、OpenManage Enterprise管理者がソース コンソールとターゲット コンソールのIPアドレスとローカル管理者の認証情報を提供します。

接続の検証時には、次の項目がチェックされます。

• 発行先と発行元 - ソース証明書とターゲット証明書の間のチェーンにおいて、認証局名の「発行先」と「発行元」は同じです。これらの名前が一致しない場合、ソースまたはターゲットは、同じ署名機関が証明書を発行したことを検証できません。これは、ゼロトラスト セキュリティ フレームワークに準拠するために不可欠です。

• 有効期間 - アプライアンスの日付と時刻で証明書の有効期間を確認します。
• 最大深度 - 証明書チェーンが最大深度の10個のリーフ証明書を超えていないことを確認します。

証明書が前述の要件を満たしていない場合、コンソール接続を検証しようとすると、次のエラーが表示されます。

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

証明書チェーン要件のバイパス