메인 콘텐츠로 이동
로그아웃

환영합니다.

내 계정
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스
  • 회사 관리를 사용하여 Dell EMC 사이트, 제품 및 제품 수준 연락처를 관리하십시오.
로그인 계정 만들기 프리미어 로그인 Partner Program 로그인
문의처

Dell.com 카트

문서 번호: 000221202

OpenManage Enterprise 마이그레이션에 필요한 인증서 체인 문제 해결

요약: OpenManage Enterprise 관리자는 인증서 체인 업로드(CGEN1008 및 CSEC9002) 및 연결 확인 단계 중에 몇 가지 오류가 발생할 수 있습니다. 다음은 마이그레이션 프로세스의 이 단계에서 오류가 발생할 경우 OpenManage Enterprise 관리자에게 도움이 되는 가이드입니다.

이 문서는 자동으로 번역되었을 수 있습니다. 번역 품질에 대한 의견이 있는 경우 페이지 하단의 양식을 사용해 알려 주시기 바랍니다.

문서 콘텐츠

지침

어플라이언스 마이그레이션 프로세스는 mTLS(Mutual TLS)를 활용합니다. 이러한 유형의 상호 인증은 기본적으로 아무것도 신뢰할 수 없는 제로 트러스트 보안 프레임워크 내에서 사용됩니다.
 
일반적인 TLS 교환에서 서버는 TLS 인증서와 공개 및 개인 키 쌍을 보유합니다. 클라이언트는 서버 인증서를 확인한 다음 암호화된 세션을 통해 정보 교환을 진행합니다. mTLS를 사용하면 클라이언트와 서버 모두 데이터 교환을 시작하기 전에 인증서를 확인합니다.
mTLS 클라이언트 및 서버 통신 다이어그램 
마이그레이션 작업을 진행하기 전에 인증서 체인을 업로드하려면 타사 서명 인증서를 활용하는 모든 OpenManage Enterprise 어플라이언스가 필요합니다. 인증서 체인은 SSL/TLS 인증서 및 CA(Certificate Authority) 인증서를 포함하는 인증서의 정렬된 목록입니다. 체인은 독립 실행형 인증서로 시작되며, 체인의 각 인증서는 체인의 다음 인증서로 식별되는 엔터티에 의해 서명됩니다.
  • 인증서 = CA 서명 인증서(독립 실행형)
  • 인증서 체인 = CA 서명 인증서 + 중간 CA 인증서(있는 경우) + 루트 CA 인증서
인증서 체인은 다음 요구 사항을 충족해야 합니다. 그렇지 않으면 관리자에게 오류가 표시됩니다.
 

마이그레이션을 위한 인증서 체인 요구 사항 

  1. 인증서 서명 요청 키 일치 - 인증서 업로드 중에 CSR(Certificate Signing Request) 키가 확인됩니다. OpenManage Enterprise는 해당 어플라이언스에서 CSR(Certificate Signed Request)을 사용하여 요청한 인증서만 업로드할 수 있도록 지원합니다. 이 유효성 검사는 단일 서버 인증서와 인증서 체인 모두에 대해 업로드하는 동안 수행됩니다.
  2. 인증서 인코딩 - 인증서 파일에는 Base 64 인코딩이 필요합니다. 인증 기관에서 내보낸 인증서를 저장할 때 Base 64 인코딩이 사용되는지 확인합니다. 그렇지 않으면 인증서 파일이 유효하지 않은 것으로 간주됩니다.
  3. 인증서 향상된 키 사용 확인 - 서버 인증과 클라이언트 인증 모두에 대해 키 사용이 활성화되어 있는지 확인합니다. 이는 마이그레이션이 원본과 대상 간의 양방향 통신이기 때문에 둘 중 하나가 정보 교환 중에 서버 및 클라이언트 역할을 할 수 있기 때문입니다. 단일 서버 인증서의 경우 서버 인증만 필요합니다.
  4. 인증서가 키 암호화에 사용하도록 설정됨 - 인증서를 생성하는 데 사용되는 인증서 템플릿에는 키 암호화가 포함되어야 합니다. 이렇게 하면 인증서의 키를 사용하여 통신을 암호화할 수 있습니다.
  5. 루트 인증서가 있는 인증서 체인 - 인증서에는 루트 인증서를 포함하는 전체 체인이 포함됩니다. 이는 소스와 타겟을 모두 신뢰할 수 있도록 하는 데 필요합니다. 루트 인증서가 각 어플라이언스의 신뢰할 수 있는 루트 저장소에 추가됩니다. 중요: OpenManage Enterprise는 인증서 체인 내에서 최대 10개의 리드 인증서를 지원합니다.
  6. 발급 대상 및 발급자 - 루트 인증서가 트러스트 앵커로 사용된 다음 해당 트러스트 앵커에 대해 체인의 모든 인증서를 검증하는 데 사용됩니다. 인증서 체인에 루트 인증서가 포함되어 있는지 확인합니다.
인증서 체인의 예
발급 대상 발행자
OMENT(어플라이언스) CA1 간
CA1 간 루트-CA
루트-CA 루트-CA


인증서 체인 업로드 작업

전체 인증서 체인을 확보한 후에는 OpenManage Enterprise 관리자가 웹 UI '애플리케이션 설정 -> 보안 - 인증서'를 통해 체인을 업로드해야 합니다.
 
인증서가 요구 사항을 충족하지 않는 경우 웹 UI에 다음 오류 중 하나가 표시됩니다.
  • CGEN1008 - 오류가 발생하여 요청을 처리할 수 없습니다.
  • CSEC9002 - 제공된 인증서 파일이 잘못되었기 때문에 인증서를 업로드할 수 없습니다.
다음 섹션에서는 오류, 조건부 트리거 및 수정 방법을 강조 표시합니다.

CGEN1008 - 오류가 발생하여 요청을 처리할 수 없습니다.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
인증서 업로드 오류 CGEN1008 오류가 발생하여 요청을 처리할 수 없습니다. 
다음 오류 조건 중 하나라도 충족되면 CGEN1008 오류가 표시됩니다.
  • 인증서 체인의 CSR 키가 잘못되었습니다.
    • 인증서가 OpenManage Enterprise 웹 UI에서 CSR을 사용하여 생성되었는지 확인합니다. OpenManage Enterprise는 동일한 어플라이언스에서 CSR을 사용하여 생성되지 않은 인증서의 업로드를 지원하지 않습니다.
    • 콘솔 로그 번들에 있는 Tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • 잘못된 인증서 체인
    • 루트 및 모든 중간 인증 기관의 인증서가 인증서 내에 포함되어야 합니다.
    • 콘솔 로그 번들에 있는 Tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • 리프 인증서에서 일반 이름을 찾을 수 없음 - 모든 인증서에는 일반 이름이 포함되어야 하며 와일드카드(*)를 포함해서는 안 됩니다.
참고: OpenManage Enterprise는 와일드카드(*) 인증서를 지원하지 않습니다. 고유 이름에 와일드카드(*)를 사용하여 웹 UI에서 CSR을 생성하면 다음 오류가 발생합니다. 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
인증서 업로드 오류 CGEN6002 DistinguishedName에 대한 입력 값이 누락되었거나 잘못된 값이 입력되어 요청을 완료할 수 없습니다. 
  • 리프 인증서에 클라이언트 및 서버 인증 EKU(Extended Key Usage)가 없습니다.
    • 인증서에는 확장 키 사용을 위한 서버 및 클라이언트 인증이 모두 포함되어야 합니다.
    • 콘솔 로그 번들에 있는 Tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • 향상된 키 사용에 대한 인증서 세부 정보를 검토합니다. 둘 중 하나가 누락된 경우 인증서 생성에 사용된 템플릿이 둘 다에 대해 활성화되어 있는지 확인합니다.
서버 및 클라이언트 인증 모두에 대해 향상된 키 사용을 보여 주는 인증서 세부 정보 
  • 키 사용을 위한 키 암호화가 누락되었습니다.
    • 업로드되는 인증서에는 키 사용을 위해 키 암호화가 나열되어 있어야 합니다.
    • 콘솔 로그 번들에 있는 Tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • 키 사용에 대한 인증서 세부 정보를 검토합니다. 인증서 생성에 사용된 템플릿에 키 암호화가 활성화되어 있는지 확인합니다.
키 암호화에 대한 키 사용을 보여 주는 인증서 세부 정보 
 

CSEC9002 - 제공된 인증서 파일이 잘못되었기 때문에 인증서를 업로드할 수 없습니다.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
인증서 업로드 오류 CSEC9002 제공된 인증서 파일이 잘못되었기 때문에 인증서를 업로드할 수 없습니다.
 
다음 오류 조건 중 하나라도 충족되면 CSEC9002 오류가 표시됩니다. 
  • 서버 인증서 누락 키 암호화
    • 인증서 생성에 사용된 템플릿에 키 암호화가 활성화되어 있는지 확인합니다. 마이그레이션에 인증서를 활용할 때는 단일 서버 인증서가 아닌 전체 인증서 체인이 업로드되었는지 확인합니다.
    • 콘솔 로그 번들에 있는 Tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • 인증서 파일에 잘못된 인코딩이 포함되어 있습니다.
    • 인증서 파일이 Base 64 인코딩을 사용하여 저장되었는지 확인합니다.
    • 콘솔 로그 번들에 있는 Tomcat 애플리케이션 로그에 다음 오류가 표시됩니다.
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

마이그레이션 연결 확인 작업

인증서 체인을 성공적으로 업로드한 후 마이그레이션 프로세스는 다음 단계인 소스 콘솔과 타겟 콘솔 간의 연결 설정을 진행할 수 있습니다. 이 단계에서 OpenManage Enterprise 관리자는 소스 및 타겟 콘솔에 대한 IP 주소와 로컬 관리자 자격 증명을 제공합니다.
 
연결을 검증할 때 다음 항목이 확인됩니다.
  • 발급 대상 및 발급자 - 각 원본 인증서와 대상 인증서 사이의 체인에 있는 인증 기관의 이름은 '발급 대상' 및 '발급자'가 동일합니다. 이러한 이름이 일치하지 않으면 소스 또는 타겟은 동일한 서명 기관에서 인증서를 발급했는지 확인할 수 없습니다. 이는 제로 트러스트 보안 프레임워크를 준수하는 데 매우 중요합니다.
소스와 타겟 간의 유효한 인증서 체인
소스 인증서     타겟 인증서  
발급 대상 발행자   발급 대상 발행자
OMENT-310(출처) CA1 간 <-> OMENT-400 (대상) CA1 간
CA1 간 루트-CA <-> CA1 간 루트-CA
루트-CA 루트-CA <-> 루트-CA 루트-CA
 
 
소스와 타겟 간의 잘못된 인증서 체인
소스 인증서     타겟 인증서  
발급 대상 발행자   발급 대상 발행자
OMENT-310(출처) CA1 간 X OMENT-400 (대상) CA2 간
CA1 간 루트-CA X CA2 간 루트-CA
루트-CA 루트-CA <-> 루트-CA 루트-CA
 
  • 유효 기간 - 어플라이언스의 날짜 및 시간으로 인증서 유효 기간을 확인합니다.
  • 최대 깊이 - 인증서 체인이 최대 깊이인 10개 리프 인증서를 초과하지 않는지 확인합니다.
인증서가 위의 요구 사항을 충족하지 않는 경우 콘솔 연결을 검증하려고 할 때 다음 오류가 표시됩니다. 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
마이그레이션 연결 유효성 검사 오류 - 상호 인증하고 원격 어플라이언스에 연결할 수 없습니다. 

인증서 체인 요구 사항 무시

인증서 체인 요구 사항을 충족하는 문제가 계속되는 경우 자체 서명된 인증서를 활용하는 데 사용할 수 있는 지원되는 방법이 있습니다. 다음 문서에 설명된 대로 백업 및 복원 기능을 활용하여 진행합니다.

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

문서 속성

영향을 받는 제품

Dell EMC OpenManage Enterprise

마지막 게시 날짜

25 4월 2024

버전

3

문서 유형

How To

맨 위로 이동