Treceți la conținutul principal
Deconectare

Bun venit la Dell

Contul meu
  • Plasaţi comenzi rapid şi simplu
  • Vizualizaţi comenzile şi urmăriţi starea transportului
  • Creaţi şi accesaţi o listă cu produsele dvs.
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Autentificare Creaţi un cont Autentificare la Premier Autentificare la programul pentru parteneri
Contactaţi-ne

Article Number: 000221202

Problemen met de certificaatketen oplossen die vereist zijn voor OpenManage Enterprise migratie

Summary: OpenManage Enterprise-beheerders kunnen verschillende fouten tegenkomen tijdens het uploaden van de certificaatketen (CGEN1008 en CSEC9002) en verbindingsverificatiefase. Hieronder volgt een handleiding om OpenManage Enterprise-beheerders te helpen als ze tijdens deze fase van het migratieproces fouten tegenkomen. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Instructions

Het migratieproces van het apparaat maakt gebruik van wederzijdse TLS (mTLS). Dit type wederzijdse verificatie wordt gebruikt binnen een Zero Trust-beveiligingsframework waarin standaard niets wordt vertrouwd.
 
In een typische TLS-uitwisseling is de server in het bezit van het TLS-certificaat en het openbare en private sleutelpaar. De client verifieert het servercertificaat en gaat vervolgens verder met het uitwisselen van informatie via een versleutelde sessie. Met mTLS verifiëren zowel de client als de server het certificaat voordat ze gegevens gaan uitwisselen.
mTLS-communicatiediagram voor client en server 
Elk OpenManage Enterprise-apparaat dat gebruikmaakt van een ondertekend certificaat van derden moet de certificaatketen uploaden voordat een migratiebewerking wordt uitgevoerd. Een certificaatketen is een geordende lijst met certificaten die een SSL/TLS-certificaat en CA-certificaten (Certificate Authority) bevatten. De keten begint met het zelfstandige certificaat en elk certificaat in de keten wordt ondertekend door de entiteit die wordt geïdentificeerd door het volgende certificaat in de keten.
  • Certificaat = CA ondertekend certificaat (stand-alone)
  • Certificaatketen = CA-ondertekend certificaat + tussenliggend CA-certificaat (indien aanwezig) + basis-CA-certificaat
De certificaatketen moet aan de volgende vereisten voldoen, anders krijgt de beheerder fouten te zien.
 

Vereisten voor certificaatketen voor migratie 

  1. De certificaatondertekeningsaanvraagsleutel komt overeen: tijdens het uploaden van het certificaat wordt de CSR-sleutel (Certificate Signing Request) gecontroleerd. OpenManage Enterprise ondersteunt alleen het uploaden van certificaten die door dat apparaat zijn aangevraagd met behulp van de CSR (Certificate Signed Request). Deze validatiecontrole wordt uitgevoerd tijdens het uploaden van zowel een enkel servercertificaat als een certificaatketen.
  2. Certificaatcodering - Het certificaatbestand vereist een codering van basis 64. Zorg ervoor dat bij het opslaan van het geëxporteerde certificaat van de certificaatautoriteit Base 64-codering wordt gebruikt, anders wordt het certificaatbestand als ongeldig beschouwd.
  3. Verbeterd sleutelgebruik van certificaten valideren : controleer of het sleutelgebruik is ingeschakeld voor zowel serververificatie als clientverificatie. Dit komt omdat de migratie tweerichtingscommunicatie is tussen zowel de bron als het doel, waarbij beide kunnen fungeren als een server en een client tijdens de informatie-uitwisseling. Voor enkelvoudige servercertificaten is alleen de serverauthenticatie vereist.
  4. Certificaat is ingeschakeld voor sleutelversleuteling - De certificaatsjabloon die wordt gebruikt om het certificaat te genereren, moet sleutelversleuteling bevatten. Dit zorgt ervoor dat de sleutels in het certificaat kunnen worden gebruikt om communicatie te versleutelen.
  5. Certificaatketen met basiscertificaat : het certificaat bevat de volledige keten die het basiscertificaat bevat. Dit is vereist voor de bron en het doel om ervoor te zorgen dat beide kunnen worden vertrouwd. Het rootcertificaat wordt toegevoegd aan de vertrouwde root-store van elk apparaat. BELANGRIJK: OpenManage Enterprise ondersteunt maximaal 10 leadcertificaten binnen de certificaatketen.
  6. Uitgegeven aan en uitgegeven door : het basiscertificaat wordt gebruikt als het vertrouwensanker en vervolgens gebruikt om alle certificaten in de keten te valideren op basis van dat vertrouwensanker. Zorg ervoor dat de certificaatketen het basiscertificaat bevat.
Voorbeeld van certificaatketen
Uitgegeven aan Uitgegeven door
OMENT (apparaat) Inter-CA1
Inter-CA1 Root-CA
Root-CA Root-CA


Uploadbewerking certificaatketen

Zodra de volledige certificaatketen is verkregen, moet de OpenManage Enterprise-beheerder de keten uploaden via de webinterface - 'Applicatie-instellingen -> Beveiliging - Certificaten'.
 
Als het certificaat niet aan de vereisten voldoet, wordt een van de volgende fouten weergegeven in de webinterface:
  • CGEN1008 - Kan de aanvraag niet verwerken omdat er een fout is opgetreden
  • CSEC9002 - Kan het certificaat niet uploaden omdat het opgegeven certificaatbestand ongeldig is.
In de volgende secties worden de fouten, voorwaardelijke triggers en hoe u deze kunt herstellen gemarkeerd.

CGEN1008 - Kan de aanvraag niet verwerken omdat er een fout is opgetreden.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
Fout bij het uploaden van certificaten CGEN1008 Kan de aanvraag niet verwerken omdat er een fout is opgetreden 
De fout CGEN1008 wordt weergegeven als aan een van de volgende foutvoorwaarden wordt voldaan:
  • Ongeldige CSR-sleutel voor de certificaatketen
    • Controleer of het certificaat is gegenereerd met behulp van de CSR uit de OpenManage Enterprise webinterface. OpenManage Enterprise biedt geen ondersteuning voor het uploaden van een certificaat dat niet is gegenereerd met behulp van de CSR van hetzelfde apparaat.
    • De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Ongeldige certificaatketen
    • De certificaten van de basiscertificeringsinstantie en alle tussenliggende certificaten van de certificaatautoriteit moeten in het certificaat worden opgenomen.
    • De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Geen algemene naam gevonden in het leaf-certificaat - Alle certificaten moeten de algemene namen bevatten en mogen geen jokertekens (*) bevatten.
OPMERKING: OpenManage Enterprise biedt geen ondersteuning voor jokertekencertificaten (*). Het genereren van een CSR vanuit de webinterface met behulp van een jokerteken (*) in de DN-naam genereert de volgende fout: 
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
Fout bij het uploaden van certificaten CGEN6002 Kan de aanvraag niet voltooien omdat de invoerwaarde voor DistinctedName ontbreekt of een ongeldige waarde is ingevoerd 
  • Er is geen client- en serverauthenticatie Extended Key Usage (EKU) aanwezig in leaf-certificaat
    • Het certificaat moet zowel server- als clientauthenticatie bevatten voor uitgebreid sleutelgebruik.
    • De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Controleer de certificaatgegevens voor verbeterd sleutelgebruik. Als een van beide ontbreekt, moet u ervoor zorgen dat de sjabloon die wordt gebruikt om het certificaat te genereren, voor beide is ingeschakeld.
Certificaatdetails met verbeterd sleutelgebruik voor zowel server- als clientauthenticatie 
  • Ontbrekende sleutelversleuteling voor sleutelgebruik
    • Het certificaat dat wordt geüpload, moet de sleutelcodering hebben die wordt vermeld voor sleutelgebruik.
    • De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
  • Controleer de certificaatgegevens voor sleutelgebruik. Zorg ervoor dat sleutelversleuteling is ingeschakeld voor de sjabloon die wordt gebruikt om het certificaat te genereren.
Certificaatdetails met sleutelgebruik voor sleutelversleuteling 
 

CSEC9002 - Kan het certificaat niet uploaden omdat het opgegeven certificaatbestand ongeldig is.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
Fout bij het uploaden van certificaten CSEC9002 Kan het certificaat niet uploaden omdat het verstrekte certificaatbestand ongeldig is.
 
De CSEC9002 fout wordt weergegeven als aan een van de volgende foutvoorwaarden wordt voldaan: 
  • Server-certificaat ontbreekt sleutelversleuteling
    • Zorg ervoor dat sleutelversleuteling is ingeschakeld voor de sjabloon die wordt gebruikt om het certificaat te genereren. Wanneer u een certificaat gebruikt voor migratie, zorg er dan voor dat de volledige certificaatketen wordt geüpload in plaats van het enkele servercertificaat.
    • De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
  • Certificaatbestand bevat onjuiste codering
    • Zorg ervoor dat het certificaatbestand is opgeslagen met behulp van Base 64-codering.
    • De volgende fout is te zien in het logboek van de Tomcat-applicatie in de logboekbundel van het systeem:
./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Bewerking migratieverbindingsverificatie

Nadat de certificaatketen is geüpload, kan het migratieproces worden voortgezet met de volgende stap: een verbinding tot stand brengen tussen de bron- en doelconsoles. In deze stap verstrekt de OpenManage Enterprise-beheerder het IP-adres en de lokale beheerdersreferenties voor de bron- en doelconsoles.
 
De volgende items worden gecontroleerd bij het valideren van de verbinding:
  • Uitgegeven aan en uitgegeven door : de namen van de certificaatautoriteiten in de keten tussen de bron- en doelcertificaten hebben dezelfde 'uitgegeven aan' en 'uitgegeven door'. Als deze namen niet overeenkomen, kan de bron of het doel niet controleren of dezelfde ondertekenende autoriteiten de certificaten hebben uitgegeven. Dit is cruciaal om te voldoen aan het Zero-Trust-beveiligingsframework.
Geldige certificaatketen tussen bron en doel
Broncertificaat     Doelcertificaat  
Uitgegeven aan Uitgegeven door   Uitgegeven aan Uitgegeven door
OMENT-310 (bron) Inter-CA1 <-> OMENT-400 (doel) Inter-CA1
Inter-CA1 Root-CA <-> Inter-CA1 Root-CA
Root-CA Root-CA <-> Root-CA Root-CA
 
 
Ongeldige certificaatketen tussen bron en doel
Broncertificaat     Doelcertificaat  
Uitgegeven aan Uitgegeven door   Uitgegeven aan Uitgegeven door
OMENT-310 (bron) Inter-CA1 X-toets OMENT-400 (doel) Inter-CA2
Inter-CA1 Root-CA X-toets Inter-CA2 Root-CA
Root-CA Root-CA <-> Root-CA Root-CA
 
  • Geldigheidsduur - controleert de geldigheidsduur van het certificaat met de datum en tijd van het apparaat.
  • Maximale diepte - controleer of de certificaatketen de maximale diepte van 10 leaf certificaten niet overschrijdt.
Als de certificaten niet aan de bovenstaande vereisten voldoen, wordt de volgende fout weergegeven bij het valideren van de consoleverbindingen: 
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Validatiefout migratieverbinding - Kan niet wederzijds verifiëren en verbinding maken met externe appliance. 

Vereiste certificaatketen omzeilen

Als er aanhoudende problemen zijn die voldoen aan de vereisten van de certificaatketen, is er een ondersteunde methode die kan worden gebruikt om gebruik te maken van de zelfondertekende certificaten. Ga verder met het gebruik van de back-up- en herstelfunctie zoals beschreven in het volgende artikel:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur 

Article Properties

Affected Product

Dell EMC OpenManage Enterprise

Last Published Date

25 apr. 2024

Version

3

Article Type

How To

Înapoi sus