Treceți la conținutul principal
Deconectare

Bun venit la Dell

Contul meu
  • Plasaţi comenzi rapid şi simplu
  • Vizualizaţi comenzile şi urmăriţi starea transportului
  • Creaţi şi accesaţi o listă cu produsele dvs.
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Autentificare Creaţi un cont Autentificare la Premier Autentificare la programul pentru parteneri
Contactaţi-ne

Article Number: 000221202

Troubleshooting von Problemen mit der Zertifikatkette, die für OpenManage Enterprise Migration erforderlich sind

Summary: OpenManage Enterprise-Administratoren können während des Hochladens der Zertifikatkette (CGEN1008 und CSEC9002) und der Verbindungsüberprüfungsphase auf mehrere Fehler stoßen. Im Folgenden finden Sie eine Anleitung für OpenManage Enterprise-Administratoren, die in dieser Phase des Migrationsprozesses auf Fehler stoßen. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Instructions

Der Appliance-Migrationsprozess nutzt gegenseitiges TLS (mTLS). Diese Art der gegenseitigen Authentifizierung wird in einem Zero-Trust-Sicherheitsframework verwendet, in dem standardmäßig nichts vertrauenswürdig ist.
 
Bei einem typischen TLS-Austausch enthält der Server das TLS-Zertifikat und das Paar aus öffentlichem und privatem Schlüssel. Der Client überprüft das Serverzertifikat und fährt dann mit dem Austausch von Informationen über eine verschlüsselte Sitzung fort. Mit mTLS überprüfen sowohl der Client als auch der Server das Zertifikat, bevor sie mit dem Austausch von Daten beginnen.
Diagramm zur mTLS-Client- und Serverkommunikation 
Jede OpenManage Enterprise Appliance, die ein von einem Drittanbieter signiertes Zertifikat nutzt, muss die Zertifikatkette hochladen, bevor Sie mit einem Migrationsvorgang fortfahren. Eine Zertifikatkette ist eine geordnete Liste von Zertifikaten, die ein SSL/TLS-Zertifikat und Zertifikate einer Zertifizierungsstelle (CA) enthalten. Die Kette beginnt mit dem eigenständigen Zertifikat und jedes Zertifikat in der Kette wird von der Entität signiert, die durch das nächste Zertifikat in der Kette identifiziert wird.
  • Zertifikat = CA-signiertes Zertifikat (eigenständig)
  • Zertifikatkette = von der Zertifizierungsstelle signiertes Zertifikat + Zwischenzertifikat der Zertifizierungsstelle (falls vorhanden) + Stammzertifikat der Zertifizierungsstelle
Die Zertifikatkette muss die folgenden Anforderungen erfüllen, andernfalls werden dem Administrator Fehler angezeigt.
 

Anforderungen an die Zertifikatkette für die Migration 

  1. Schlüssel für Zertifikatsignierungsanforderung stimmt überein – Während des Zertifikatuploads wird der CSR-Schlüssel (Certificate Signing Request) überprüft. OpenManage Enterprise unterstützt nur das Hochladen von Zertifikaten, die mit der Zertifikatsignierten Anforderung (CSR, Certificate Signed Request) dieser Appliance angefordert werden. Diese Validierungsprüfung wird während eines Uploads für ein einzelnes Serverzertifikat und eine Zertifikatskette durchgeführt.
  2. Zertifikatcodierung – Die Zertifikatdatei erfordert eine Base-64-Codierung. Stellen Sie sicher, dass beim Speichern des exportierten Zertifikats von der Zertifizierungsstelle die Base-64-Kodierung verwendet wird, andernfalls wird die Zertifikatdatei als ungültig betrachtet.
  3. Erweiterte Schlüsselverwendung des Zertifikats validieren – Stellen Sie sicher, dass die Schlüsselverwendung sowohl für die Serverauthentifizierung als auch für die Clientauthentifizierung aktiviert ist. Dies liegt daran, dass es sich bei der Migration um eine bidirektionale Kommunikation zwischen Quelle und Ziel handelt, wobei beide während des Informationsaustauschs als Server und Client fungieren können. Bei Einzelserverzertifikaten ist nur die Serverauthentifizierung erforderlich.
  4. Zertifikat ist für Schlüsselchiffrierung aktiviert – Die Zertifikatvorlage, die zum Erzeugen des Zertifikats verwendet wird, muss eine Schlüsselchiffrierung enthalten. Dadurch wird sichergestellt, dass die Schlüssel im Zertifikat verwendet werden können, um die Kommunikation zu verschlüsseln.
  5. Zertifikatkette mit Stammzertifikat – Das Zertifikat enthält die vollständige Kette , die das Stammzertifikat enthält. Dies ist für die Quelle und das Ziel erforderlich, um sicherzustellen, dass beide vertrauenswürdig sind. Das Stammzertifikat wird dem vertrauenswürdigen Stammspeicher jeder Appliance hinzugefügt. WICHTIG: OpenManage Enterprise unterstützt maximal 10 Lead-Zertifikate innerhalb der Zertifikatkette.
  6. Ausgestellt für und ausgestellt von : Das Stammzertifikat wird als Vertrauensanker verwendet und dann verwendet, um alle Zertifikate in der Kette anhand dieses Vertrauensankers zu validieren. Stellen Sie sicher, dass die Zertifikatkette das Stammzertifikat enthält.
Beispiel für eine Zertifikatskette
Ausgestellt für Ausgestellt von
OMENT (Appliance) Inter-CA1
Inter-CA1 Stammzertifizierungsstelle
Stammzertifizierungsstelle Stammzertifizierungsstelle


Vorgang zum Hochladen einer Zertifikatkette

Sobald die vollständige Zertifikatskette abgerufen wurde, muss der OpenManage Enterprise-Administrator die Kette über die Webnutzeroberfläche unter "Anwendungseinstellungen –> Sicherheit – Zertifikate" hochladen.
 
Wenn das Zertifikat die Anforderungen nicht erfüllt, wird einer der folgenden Fehler in der Webnutzeroberfläche angezeigt:
  • CGEN1008 – Verarbeitung der Anfrage aufgrund eines Fehlers nicht möglich
  • CSEC9002 – Zertifikat konnte nicht hochgeladen werden, da die angegebene Zertifikatsdatei ungültig ist.
In den folgenden Abschnitten werden die Fehler, bedingten Auslöser und deren Behebung erläutert.

CGEN1008 – Verarbeitung der Anfrage aufgrund eines Fehlers nicht möglich.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Fehler beim Hochladen des Zertifikats CGEN1008 Verarbeitung der Anfrage aufgrund eines Fehlers nicht möglich 
Der CGEN1008 Fehler wird angezeigt, wenn eine der folgenden Fehlerbedingungen erfüllt ist:
  • Ungültiger CSR-Schlüssel für die Zertifikatkette
    • Stellen Sie sicher, dass das Zertifikat mithilfe der CSR von der OpenManage Enterprise-Webnutzeroberfläche erzeugt wurde. OpenManage Enterprise unterstützt nicht das Hochladen eines Zertifikats, das nicht mithilfe der CSR von derselben Appliance erzeugt wurde.
    • Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Ungültige Zertifikatkette
    • Das Stammzertifikat und die Zertifikate aller Zwischenzertifizierungsstellen müssen im Zertifikat enthalten sein.
    • Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Kein allgemeiner Name im Tochterzertifikat gefunden – Alle Zertifikate müssen die allgemeinen Namen enthalten und dürfen keine Platzhalter (*) enthalten.
HINWEIS: OpenManage Enterprise unterstützt keine Platzhalterzertifikate (*). Das Erzeugen einer CSR über die Webnutzeroberfläche mit einem Platzhalter (*) im Distinguished Name erzeugt den folgenden Fehler: 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Fehler beim Hochladen des Zertifikats CGEN6002 Anfrage kann nicht abgeschlossen werden, weil der Eingabewert für DistinguishedName fehlt oder ein ungültiger Wert eingegeben wurde 
  • Keine Client- und Serverauthentifizierung (Extended Key Usage, EKU) im Blattzertifikat vorhanden
    • Das Zertifikat muss sowohl die Server- als auch die Clientauthentifizierung für die erweiterte Schlüsselverwendung umfassen.
    • Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Überprüfen Sie die Zertifikatdetails für die erweiterte Schlüsselnutzung. Wenn eine der beiden fehlen, stellen Sie sicher, dass die zum Erzeugen des Zertifikats verwendete Vorlage für beide aktiviert ist.
Zertifikatdetails mit erweiterter Schlüsselverwendung für die Server- und Clientauthentifizierung 
  • Fehlende Schlüsselchiffrierung für die Schlüsselverwendung
    • Auf dem Zertifikat, das hochgeladen wird, muss die Schlüsselchiffrierung für die Schlüsselverwendung aufgeführt sein.
    • Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Überprüfen Sie die Zertifikatdetails für die Schlüsselverwendung. Stellen Sie sicher, dass für die zum Erzeugen des Zertifikats verwendete Vorlage die Schlüsselchiffrierung aktiviert ist.
Zertifikatdetails mit Schlüsselverwendung für die Schlüsselchiffrierung 
 

CSEC9002 – Zertifikat konnte nicht hochgeladen werden, da die angegebene Zertifikatsdatei ungültig ist.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Fehler beim Hochladen des Zertifikats CSEC9002 Zertifikat kann nicht hochgeladen werden, da die angegebene Zertifikatsdatei ungültig ist.
 
Der CSEC9002 wird angezeigt, wenn eine der folgenden Fehlerbedingungen erfüllt ist: 
  • Schlüsselchiffrierung des Serverzertifikats fehlt
    • Stellen Sie sicher, dass für die zum Erzeugen des Zertifikats verwendete Vorlage die Schlüsselchiffrierung aktiviert ist. Wenn Sie ein Zertifikat für die Migration nutzen, stellen Sie sicher, dass die vollständige Zertifikatkette hochgeladen wird und nicht das einzelne Serverzertifikat.
    • Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Zertifikatdatei enthält falsche Codierung
    • Stellen Sie sicher, dass die Zertifikatdatei mit Base-64-Codierung gespeichert wurde.
    • Der folgende Fehler wird im Tomcat-Anwendungsprotokoll angezeigt, das sich im Konsolenprotokollpaket befindet:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Vorgang zur Überprüfung der Migrationsverbindung

Nach dem erfolgreichen Hochladen der Zertifikatkette kann der Migrationsprozess mit dem nächsten Schritt fortgesetzt werden: der Herstellung einer Verbindung zwischen der Quell- und Zielkonsole. In diesem Schritt stellt der OpenManage Enterprise-Administrator die IP-Adresse und die lokalen Administratorzugangsdaten für die Quell- und Zielkonsole bereit.
 
Die folgenden Elemente werden beim Validieren der Verbindung überprüft:
  • Ausgestellt an und ausgestellt von : Die Namen der Zertifizierungsstellen in der Kette zwischen den Quell- und Zielzertifikaten haben die gleichen "ausgestellt für" und "ausgestellt von". Wenn diese Namen nicht übereinstimmen, kann die Quelle oder das Ziel nicht überprüfen, ob die Zertifikate von denselben signierenden Zertifizierungsstellen ausgestellt wurden. Dies ist entscheidend für die Einhaltung des Zero-Trust-Sicherheitsframeworks.
Gültige Zertifikatkette zwischen Quelle und Ziel
Quellzertifikat     Zielzertifikat  
Ausgestellt für Ausgestellt von   Ausgestellt für Ausgestellt von
OMENT-310 (Quelle) Inter-CA1 <-> OMENT-400 (Ziel) Inter-CA1
Inter-CA1 Stammzertifizierungsstelle <-> Inter-CA1 Stammzertifizierungsstelle
Stammzertifizierungsstelle Stammzertifizierungsstelle <-> Stammzertifizierungsstelle Stammzertifizierungsstelle
 
 
Ungültige Zertifikatkette zwischen Quelle und Ziel
Quellzertifikat     Zielzertifikat  
Ausgestellt für Ausgestellt von   Ausgestellt für Ausgestellt von
OMENT-310 (Quelle) Inter-CA1 X OMENT-400 (Ziel) Inter-CA2
Inter-CA1 Stammzertifizierungsstelle X Inter-CA2 Stammzertifizierungsstelle
Stammzertifizierungsstelle Stammzertifizierungsstelle <-> Stammzertifizierungsstelle Stammzertifizierungsstelle
 
  • Gültigkeitsdauer : prüft die Gültigkeitsdauer des Zertifikats anhand des Datums und der Uhrzeit der Appliance.
  • Maximale Tiefe : Stellen Sie sicher, dass die Zertifikatkette die maximale Tiefe von 10 untergeordneten Zertifikaten nicht überschreitet.
Wenn die Zertifikate die oben genannten Anforderungen nicht erfüllen, wird beim Versuch, die Konsolenverbindungen zu validieren, der folgende Fehler angezeigt: 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Fehler bei der Überprüfung der Migrationsverbindung: Gegenseitige Authentifizierung und Verbindung zur Remote-Appliance nicht möglich. 

Anforderung zur Umgehung der Zertifikatkette

Wenn es weiterhin Probleme gibt, die die Anforderungen der Zertifikatkette erfüllen, gibt es eine unterstützte Methode, die verwendet werden kann, um die selbstsignierten Zertifikate zu nutzen. Fahren Sie mit der Nutzung der Backup- und Wiederherstellungsfunktion fort, wie im folgenden Artikel beschrieben:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

Article Properties

Affected Product

Dell EMC OpenManage Enterprise

Last Published Date

25 apr. 2024

Version

3

Article Type

How To

Înapoi sus