O processo de migração de appliances tira partido do TLS mútuo (mTLS). Este tipo de autenticação mútua é utilizado dentro de uma estrutura de segurança Zero Trust em que nada é fidedigno por predefinição.
Em uma troca TLS típica, o servidor mantém o certificado TLS e o par de chaves pública e privada. O cliente verifica o certificado do servidor e, em seguida, prossegue com a troca de informações através de uma sessão encriptada. Com o mTLS, o cliente e o servidor verificam o certificado antes de começarem a trocar dados.
Qualquer appliance OpenManage Enterprise que tire partido de um certificado assinado de outros fabricantes tem de carregar a cadeia de certificados antes de prosseguir com uma operação de migração. Uma cadeia de certificados é uma lista ordenada de certificados que contém um Certificado SSL/TLS e Certificados da Autoridade de Certificação (CA). A cadeia começa com o certificado autónomo e segue-se os certificados assinados pela entidade identificada no certificado seguinte na cadeia.
- Certificado = certificado assinado pela AC (independente)
- Cadeia de certificados = certificado assinado pela AC + certificado da AC intermédia (se existir) + certificado da AC de raiz
A cadeia de certificados tem de cumprir os seguintes requisitos, caso contrário são apresentados erros ao administrador.
Requisitos da cadeia de certificados para migração
- Correspondências de chave de Pedido de Assinatura de Certificado - Durante o carregamento do certificado, a chave de Pedido de Assinatura de Certificado (CSR) é verificada. O OpenManage Enterprise suporta apenas o carregamento de certificados solicitados através do Pedido de Certificado Assinado (CSR) por esse appliance. Essa verificação de validação é executada durante um carregamento para um único certificado de servidor e uma cadeia de certificados.
- Codificação de certificado - O arquivo de certificado requer codificação Base 64. Certifique-se de que, ao salvar o certificado exportado da autoridade de certificação, a codificação Base 64 seja usada, caso contrário, o arquivo de certificado será considerado inválido.
- Validar uso avançado de chaves do certificado - Verifique se o uso da chave está habilitado para a Autenticação do Servidor e a Autenticação do Cliente. Isso ocorre porque a migração é uma comunicação bidirecional entre a origem e o destino, onde ambos podem atuar como um servidor e um cliente durante a troca de informações. Para certificados de servidor único, apenas a autenticação do servidor é necessária.
- O certificado está habilitado para codificação de chave - O modelo de certificado usado para gerar o certificado deve incluir a codificação de chave. Isso garante que as chaves no certificado possam ser usadas para criptografar a comunicação.
- Cadeia de certificados com certificado raiz - O certificado contém a cadeia completa que inclui o certificado raiz. Isso é necessário para a origem e o destino para garantir que ambos possam ser confiáveis. O certificado raiz é adicionado ao armazenamento raiz confiável de cada dispositivo. IMPORTANTE: O OpenManage Enterprise suporta um máximo de 10 certificados leaf na cadeia de certificados.
- Emitido para e emitido por - O certificado raiz é usado como a âncora de confiança e, em seguida, usado para validar todos os certificados na cadeia em relação a essa âncora de confiança. Certifique-se de que a cadeia de certificados inclui o certificado raiz.
Exemplo de cadeia de certificados
Emitido para |
Emitido por |
OMENT (aparelho) |
Inter-CA1 |
Inter-CA1 |
CA-raiz |
CA-raiz |
CA-raiz |
Operação de carregamento da cadeia de certificados
Uma vez adquirida a cadeia de certificados completa, o administrador do OpenManage Enterprise tem de carregar a cadeia através da IU Web - 'Definições da Aplicação -> Segurança - Certificados'.
Se o certificado não atender aos requisitos, um dos seguintes erros é mostrado na interface do usuário da Web:
- CGEN1008 - Não foi possível processar o pedido porque ocorreu um erro
- CSEC9002 - Não foi possível carregar o certificado porque o ficheiro de certificado fornecido é inválido.
As seções a seguir destacam os erros, os gatilhos condicionais e como corrigir.
CGEN1008 - Não foi possível processar o pedido porque ocorreu um erro.
CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.
O erro
CGEN1008 é exibido se qualquer uma das seguintes condições de erro forem atendidas:
- Chave CSR inválida para a cadeia de certificados
- Certifique-se de que o certificado foi gerado utilizando o CSR da IU Web do OpenManage Enterprise. O OpenManage Enterprise não suporta o carregamento de um certificado que não tenha sido gerado através do CSR a partir do mesmo appliance.
- O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Cadeia de certificação inválida
- Os certificados das autoridades de certificação de raiz e de todas as autoridades de certificação intermédias devem ser incluídos no certificado.
- O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Nenhum Nome Comum encontrado no certificado folha - Todos os certificados devem incluir os nomes comuns e não conter nenhum curinga (*).
Nota: O OpenManage Enterprise não suporta certificados de carácter universal (*). Gerar um CSR a partir da interface do usuário da Web usando um curinga (*) no nome distinto gera o seguinte erro:
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- No certificado leaf não existe qualquer EKU (Extended Key Use, Utilização Alargada da Chave) de Client e Server
- O certificado deve incluir a autenticação de servidor e cliente para uso estendido de chave.
- O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Reveja os detalhes do certificado para obter informações sobre a utilização de chaves melhoradas. Se algum deles estiver ausente, verifique se o modelo usado para gerar o certificado está habilitado para ambos.
- Codificação de chave ausente para uso de chaves
- O certificado que está sendo carregado deve ter a codificação de chave listada para uso de chave.
- O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- Reveja os detalhes do certificado para a utilização da chave. Certifique-se de que o modelo utilizado para gerar o certificado tem a codificação da chave ativada.
CSEC9002 - Não foi possível carregar o certificado porque o ficheiro de certificado fornecido é inválido.
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.
O erro CSEC9002 é exibido se qualquer uma das seguintes condições de erro forem atendidas:
- Codificação de chave ausente do certificado do servidor
- Certifique-se de que o modelo utilizado para gerar o certificado tem a codificação da chave ativada. Ao aproveitar um certificado para migração, certifique-se de que a cadeia de certificados completa seja carregada em vez do certificado de servidor único.
- O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- O arquivo de certificado contém codificação incorreta
- Verifique se o arquivo de certificado foi salvo usando a codificação Base 64.
- O seguinte erro é visto no log do aplicativo tomcat localizado no pacote de log do console:
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
Operação de verificação de conexão de migração
Depois de carregar com êxito a cadeia de certificados, o processo de migração pode prosseguir com a próxima etapa - estabelecer a conexão entre os consoles de origem e de destino. Nesta etapa, o administrador do OpenManage Enterprise fornece o endereço IP e as credenciais de administrador local para as consolas de origem e de destino.
Os seguintes itens são verificados ao validar a conexão:
- Emitido a e emitido por - Os nomes das autoridades certificadoras na cadeia entre cada certificado de origem e de destino têm o mesmo «emitido para» e «emitido por». Se esses nomes não corresponderem, a origem ou o destino não poderão verificar se as mesmas autoridades de assinatura emitiram os certificados. Isto é crucial para aderir à estrutura de segurança Zero-Trust.
Cadeia de certificados válida entre a origem e o destino
Certificado de origem |
|
|
Certificado de Destino |
|
Emitido para |
Emitido por |
|
Emitido para |
Emitido por |
OMENT-310 (fonte) |
Inter-CA1 |
<-> |
OMENT-400 (alvo) |
Inter-CA1 |
Inter-CA1 |
CA-raiz |
<-> |
Inter-CA1 |
CA-raiz |
CA-raiz |
CA-raiz |
<-> |
CA-raiz |
CA-raiz |
Cadeia de certificados inválida entre a origem e o destino
Certificado de origem |
|
|
Certificado de Destino |
|
Emitido para |
Emitido por |
|
Emitido para |
Emitido por |
OMENT-310 (fonte) |
Inter-CA1 |
X |
OMENT-400 (alvo) |
Inter-CA2 |
Inter-CA1 |
CA-raiz |
X |
Inter-CA2 |
CA-raiz |
CA-raiz |
CA-raiz |
<-> |
CA-raiz |
CA-raiz |
- Período de validade - verifica o período de validade do certificado com a data e hora do aparelho.
- Profundidade máxima - verificar se a cadeia de certificados não excede a profundidade máxima de certificados de 10 folhas.
Se os certificados não atenderem aos requisitos acima, o seguinte erro será visto ao tentar validar as conexões do console:
Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
Ignorar Requisito de Cadeia de Certificados
Se houver problemas contínuos ao carregar a cadeia de certificados necessária, há um método suportado que pode ser usado para aproveitar o certificado autoassinado.
Prossiga com o aproveitamento do recurso de backup e restauração, conforme descrito no seguinte artigo:
https://www.dell.com/support/kbdoc/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur