Treceți la conținutul principal
Deconectare

Bun venit la Dell

Contul meu
  • Plasaţi comenzi rapid şi simplu
  • Vizualizaţi comenzile şi urmăriţi starea transportului
  • Creaţi şi accesaţi o listă cu produsele dvs.
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Autentificare Creaţi un cont Autentificare la Premier Autentificare la programul pentru parteneri
Contactaţi-ne

Article Number: 000221202

Fejlfinding af problemer med certifikatkæden, der kræves til OpenManage Enterprise-migrering

Summary: OpenManage Enterprise-administratorer kan støde på flere fejl under certifikatkædens upload (CGEN1008 og CSEC9002) og forbindelsesbekræftelsesfasen. Følgende er en vejledning til at hjælpe OpenManage Enterprise-administratorer, hvis de støder på fejl i denne fase af overførselsprocessen. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Instructions

Migreringsprocessen for enheden anvender gensidig TLS (mTLS). Denne type gensidig godkendelse bruges inden for en Zero Trust-sikkerhedsstruktur, hvor der som standard ikke er tillid til noget.
 
I en typisk TLS-udveksling har serveren TLS-certifikatet og det offentlige og private nøglepar. Klienten verificerer servercertifikatet og fortsætter derefter med at udveksle oplysninger over en krypteret session. Med mTLS bekræfter både klienten og serveren certifikatet, før de begynder at udveksle data.
Kommunikationsdiagram for mTLS-klient og -server 
Enhver OpenManage Enterprise-enhed, der anvender et tredjepartssigneret certifikat, skal overføre certifikatkæden, før du fortsætter med en migrering. En certifikatkæde er en ordnet liste over certifikater, der indeholder et SSL/TLS-certifikat og CA-certifikater (Certificate Authority). Kæden begynder med det enkeltstående certifikat, og hvert certifikat i kæden signeres af den enhed, der identificeres af det næste certifikat i kæden.
  • Certifikat = CA-signeret certifikat (enkeltstående)
  • Certifikatkæde = CA-signeret certifikat + mellemliggende CA-certifikat (hvis relevant) + CA-rodcertifikat
Certifikatkæden skal opfylde følgende krav, ellers får administratoren vist fejl.
 

Krav til certifikatkæde for migrering 

  1. Nøglematch med anmodning om certifikatsignering – Under upload af certifikatet markeres CSR-nøglen (Certificate Signing Request). OpenManage Enterprise understøtter kun upload af certifikater, der anmodes om ved hjælp af CSR (Certificate Signed Request) af den pågældende enhed. Denne valideringskontrol udføres under en upload for både et enkelt servercertifikat og en certifikatkæde.
  2. Certifikatkodning – Certifikatfilen kræver Base 64-kodning. Sørg for, at når du gemmer det eksporterede certifikat fra nøglecenteret, bruges Base 64-kodning, ellers betragtes certifikatfilen som ugyldig.
  3. Valider certifikatforbedret nøglebrug – Kontrollér, at nøglebrug er aktiveret for både servergodkendelse og klientgodkendelse. Dette skyldes, at migreringen er tovejskommunikation mellem både kilden og målet, hvor enten kan fungere som en server og en klient under informationsudvekslingen. For enkelte servercertifikater kræves kun servergodkendelse.
  4. Certifikatet er aktiveret til nøglekryptering – Certifikatskabelonen, der bruges til at generere certifikatet, skal indeholde nøglekryptering. Dette sikrer, at nøglerne i certifikatet kan bruges til at kryptere kommunikation.
  5. Certifikatkæde med rodcertifikat – Certifikatet indeholder hele kæden , der indeholder rodcertifikatet. Dette er nødvendigt for kilden og målet for at sikre, at begge kan stole på. Rodcertifikatet føjes til hver enheds rodlager, der er tillid til. VIGTIGT: OpenManage Enterprise understøtter maksimalt 10 kundeemnecertifikater inden for certifikatkæden.
  6. Udstedt til og udstedt af – Rodcertifikatet bruges som tillidsanker og bruges derefter til at validere alle certifikater i kæden i forhold til det pågældende tillidsanker. Sørg for, at certifikatkæden indeholder rodcertifikatet.
Eksempel på certifikatkæde
Udstedt til Udstedt af
OMENT (apparat) Inter-CA1
Inter-CA1 Rod-CA
Rod-CA Rod-CA


Handling ved upload af certifikatkæde

Når den fulde certifikatkæde er hentet, skal OpenManage Enterprise-administratoren uploade kæden via webbrugergrænsefladen – 'Programindstillinger -> Sikkerhed - Certifikater'.
 
Hvis certifikatet ikke opfylder kravene, vises en af følgende fejl i webbrugergrænsefladen:
  • CGEN1008 – Kunne ikke behandle anmodningen, fordi der opstod en fejl
  • CSEC9002 – Certifikatet kunne ikke uploades, fordi den angivne certifikatfil er ugyldig.
Følgende afsnit fremhæver fejlene, betingede udløsere, og hvordan du afhjælper problemet.

CGEN1008 – Kunne ikke behandle anmodningen, fordi der opstod en fejl.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Fejl ved upload af certifikat CGEN1008 Kunne ikke behandle anmodningen, fordi der opstod en fejl 
Den CGEN1008 fejl vises, hvis en af følgende fejlbetingelser er opfyldt:
  • Ugyldig CSR-nøgle til certifikatkæden
    • Sørg for, at certifikatet blev genereret ved hjælp af CSR fra OpenManage Enterprise-webbrugergrænsefladen. OpenManage Enterprise understøtter ikke upload af et certifikat, der ikke er genereret ved hjælp af CSR fra den samme enhed.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Ugyldig certifikatkæde
    • Rodcertifikaterne og alle mellemliggende nøglecentrenes certifikater skal indgå i certifikatet.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Intet almindeligt navn fundet i bladcertifikatet - Alle certifikater skal indeholde de almindelige navne og må ikke indeholde jokertegn (*).
BEMÆRK: OpenManage Enterprise understøtter ikke wildcard-certifikater (*). Generering af en CSR fra webbrugergrænsefladen ved hjælp af et jokertegn (*) i det entydige navn genererer følgende fejl: 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Fejl ved upload af certifikat CGEN6002 Kan ikke fuldføre anmodningen, fordi inputværdien for DistinguishedName mangler, eller fordi der indtastes en ugyldig værdi 
  • Der findes ingen klient- og servergodkendelse (EKU) i bladcertifikatet
    • Certifikatet skal indeholde både server- og klientgodkendelse ved udvidet nøglebrug.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Gennemgå certifikatoplysningerne for at få forbedret nøglebrug. Hvis en af dem mangler, skal du sørge for, at den skabelon, der bruges til at generere certifikatet, er aktiveret for begge.
Certifikatoplysninger, der viser forbedret nøglebrug til både server- og klientgodkendelse 
  • Manglende nøglekryptering til nøglebrug
    • Det certifikat, der uploades, skal have nøglekrypteringen angivet for nøglebrug.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Gennemgå certifikatoplysningerne for nøglebrug. Sørg for, at den skabelon, der bruges til at generere certifikatet, har nøglekryptering aktiveret.
Certifikatoplysninger, der viser nøgleanvendelse til nøglekryptering 
 

CSEC9002 – Certifikatet kunne ikke uploades, fordi den angivne certifikatfil er ugyldig.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Fejl ved overførsel af certifikat CSEC9002 Kunne ikke overføre certifikatet, fordi den angivne certifikatfil er ugyldig.
 
Den CSEC9002 fejl vises, hvis en af følgende fejlbetingelser er opfyldt: 
  • Servercertifikat mangler nøglekryptering
    • Sørg for, at den skabelon, der bruges til at generere certifikatet, har nøglekryptering aktiveret. Når du udnytter et certifikat til migrering, skal du sikre dig, at hele certifikatkæden uploades i stedet for det enkelte servercertifikat.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Certifikatfil indeholder forkert kodning
    • Sørg for, at certifikatfilen blev gemt ved hjælp af Base 64-kodning.
    • Følgende fejl vises i tomcat-programloggen, der findes i konsollogbundtet:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Verifikationshandling for migreringsforbindelse

Når certifikatkæden er uploadet, kan migreringsprocessen fortsætte med næste trin - etablering af forbindelse mellem kilde- og målkonsollerne. I dette trin angiver OpenManage Enterprise-administratoren IP-adressen og de lokale administratorlegitimationsoplysninger for kilde- og destinationskonsollerne.
 
Følgende elementer kontrolleres ved validering af forbindelsen:
  • Udstedt til og udstedt af - Navnene på certifikatmyndighederne i kæden mellem hvert kilde- og målcertifikat har samme 'udstedt til' og 'udstedt af'. Hvis disse navne ikke stemmer overens, kan kilden eller målet ikke bekræfte, at de samme signeringsmyndigheder har udstedt certifikaterne. Dette er afgørende for at overholde Zero-Trust-sikkerhedsrammen.
Gyldig certifikatkæde mellem kilde og mål
Kildecertifikat     Målcertifikat  
Udstedt til Udstedt af   Udstedt til Udstedt af
OMENT-310 (kilde) Inter-CA1 <-> OMENT-400 (mål) Inter-CA1
Inter-CA1 Rod-CA <-> Inter-CA1 Rod-CA
Rod-CA Rod-CA <-> Rod-CA Rod-CA
 
 
Ugyldig certifikatkæde mellem kilde og destination
Kildecertifikat     Målcertifikat  
Udstedt til Udstedt af   Udstedt til Udstedt af
OMENT-310 (kilde) Inter-CA1 X OMENT-400 (mål) Inter-CA2
Inter-CA1 Rod-CA X Inter-CA2 Rod-CA
Rod-CA Rod-CA <-> Rod-CA Rod-CA
 
  • Gyldighedsperiode - kontrollerer certifikatets gyldighedsperiode med dato og klokkeslæt for apparatet.
  • Maksimal dybde - Kontroller, at certifikatkæden ikke overstiger den maksimale dybde på 10 bladcertifikater.
Hvis certifikaterne ikke opfylder ovenstående krav, vises følgende fejl, når du forsøger at validere konsolforbindelserne: 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Valideringsfejl i forbindelse til migrering – Kan ikke gensidigt godkende og oprette forbindelse til ekstern enhed. 

Omgå krav om certifikatkæde

Hvis der fortsat er problemer med at opfylde kravene til certifikatkæden, er der en understøttet metode, der kan bruges til at udnytte de selvsignerede certifikater. Fortsæt med at udnytte sikkerhedskopierings- og gendannelsesfunktionen som beskrevet i følgende artikel:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

Article Properties

Affected Product

Dell EMC OpenManage Enterprise

Last Published Date

25 apr. 2024

Version

3

Article Type

How To

Înapoi sus