Data Domain: Konfigurering av KMIP (External Key Manager) mislykkes når det finnes en klareringskjede for KMIP-serversertifikatet
Sammendrag: Når du konfigurerer en ekstern nøkkelbehandling (PSTP), hvis klarering mellom DD og KMIP-serveren er gjennom en klareringskjede (KMIP-sertifikatet utstedes ikke av en rot-CA, men av en mellomliggende CA), kan ikke dette konfigureres på riktig måte fra enten DD CLI eller brukergrensesnittet. ...
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
CLI- eller webgrensesnittet kan brukes til å konfigurere en ekstern nøkkelbehandling ved hjelp av KMIP-protokollen, for FS-kryptering eller annen bruk.
På et tidspunkt i prosessen ber DD om det offentlige sertifikatet som samsvarer med roten til sertifiseringsinstansen (CA), som brukes til å signere for sertifikatet som brukes av KMIP-serveren til å godkjenne seg selv.
Hvis KMIP-sertifikatet ikke ble utstedt av CA-roten, men av en mellomliggende CA, måtte alle de offentlige sertifikatene for mellomliggende CAS-er sendes til DD-koncatenated i tekstlig PEM-skjema.
I dette tilfellet, til tross for at filen med klareringskjeden er riktig, klarer ikke DD KMIP-serverens SSL-sertifikat, og feil som nedenfor vil ses i loggene (ddfs.info /messages.engineering / kmip.log):
Status for ekstern nøkkelbehandling vises som nedenfor fra DD CLI (filesys encryption key-manager show):
På et tidspunkt i prosessen ber DD om det offentlige sertifikatet som samsvarer med roten til sertifiseringsinstansen (CA), som brukes til å signere for sertifikatet som brukes av KMIP-serveren til å godkjenne seg selv.
Hvis KMIP-sertifikatet ikke ble utstedt av CA-roten, men av en mellomliggende CA, måtte alle de offentlige sertifikatene for mellomliggende CAS-er sendes til DD-koncatenated i tekstlig PEM-skjema.
I dette tilfellet, til tross for at filen med klareringskjeden er riktig, klarer ikke DD KMIP-serverens SSL-sertifikat, og feil som nedenfor vil ses i loggene (ddfs.info /messages.engineering / kmip.log):
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin
03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection
Status for ekstern nøkkelbehandling vises som nedenfor fra DD CLI (filesys encryption key-manager show):
Key manager in use: CipherTrust
Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A
Årsak
Fra og med mars 2023 er cli- og webgrensesnittarbeidsflyten slik at DDOS ikke tillater import av flere CA-sertifikater som KMIP kan klarere. Dette er designet.
Når KMIP-serversertifikatet ikke er signert av rot-CA, nekter DDOS å godta alle sertifikater i kjeden, og dermed kan ikke DD kobles trygt til KMIP-serveren ved hjelp av SSL, fordi det ikke vil klarere KMIP-serversertifikatets utsteder (mellomliggende) CA.
Når KMIP-serversertifikatet ikke er signert av rot-CA, nekter DDOS å godta alle sertifikater i kjeden, og dermed kan ikke DD kobles trygt til KMIP-serveren ved hjelp av SSL, fordi det ikke vil klarere KMIP-serversertifikatets utsteder (mellomliggende) CA.
Oppløsning
Midlertidig løsning:
Kontakt DELL Data Domain Support for å få hjelp til å utføre denne konfigurasjonen utenfor det vanlige CLI- og webgrensesnittet. Dette krever ingen nedetid, men trenger tilgang på BASH-nivå, slik at filen med klareringskjeden for KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Hvis signerings-CA ikke er rotversjonen, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet når du konfigurerer KMIP for eksterne nøkkeladministratorer. Hvis signerings-CA ikke er rotnummeret, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet.
Kontakt DELL Data Domain Support for å få hjelp til å utføre denne konfigurasjonen utenfor det vanlige CLI- og webgrensesnittet. Dette krever ingen nedetid, men trenger tilgang på BASH-nivå, slik at filen med klareringskjeden for KMIP-serveren kan bygges manuelt på systemet.
Permanent løsning:
Hvis signerings-CA ikke er rotversjonen, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet når du konfigurerer KMIP for eksterne nøkkeladministratorer. Hvis signerings-CA ikke er rotnummeret, kan alle mellomliggende sertifikater importeres fra CLI eller webgrensesnittet.
Berørte produkter
Data DomainArtikkelegenskaper
Artikkelnummer: 000211676
Artikkeltype: Solution
Sist endret: 27 mai 2026
Versjon: 4
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.