Поиск и устранение неисправностей цепочки сертификатов, необходимых для переноса OpenManage Enterprise

• Сертификат = сертификат, подписанный ИС (автономный)
• Цепочка сертификатов = сертификат, подписанный ЦС + промежуточный сертификат ЦС (если есть) + корневой сертификат ЦС

Требования к цепочке сертификатов для переноса 

1. Совпадение ключей запроса подписи сертификата — во время загрузки сертификата проверяется ключ запроса подписи сертификата (CSR). OpenManage Enterprise поддерживает загрузку только сертификатов, запрошенных с помощью запроса с подписью сертификата (CSR) этим устройством. Эта проверка выполняется во время загрузки для одного сертификата сервера и цепочки сертификатов.
2. Кодировка сертификата — для файла сертификата требуется кодировка Base 64. Убедитесь, что при сохранении экспортированного сертификата из центра сертификации используется кодировка Base 64, в противном случае файл сертификата будет считаться недействительным.
3. Расширенное использование ключей проверки сертификата — проверьте, включено ли использование ключа как для проверки подлинности сервера, так и для проверки подлинности клиента. Это связано с тем, что миграция представляет собой двустороннюю связь между исходной и целевой системами, где любая из них может выступать в качестве сервера и клиента во время обмена информацией. Для одиночных сертификатов сервера требуется только проверка подлинности сервера.
4. Сертификат включен для шифрования ключей — шаблон сертификата, используемый для создания сертификата, должен включать шифрование ключа. Это гарантирует, что ключи в сертификате могут быть использованы для шифрования связи.
5. Цепочка сертификатов с корневым сертификатом — сертификат содержит полную цепочку , включающую корневой сертификат. Это необходимо для того, чтобы гарантировать, что и исходной, и целевой системы являются доверенными. Корневой сертификат добавляется в доверенное корневое хранилище каждого устройства. ВАЖНО! OpenManage Enterprise поддерживает не более 10 сертификатов лидов в цепочке сертификатов.
6. Кем выдан и кем выдан — корневой сертификат используется в качестве якоря доверия, а затем используется для проверки всех сертификатов в цепочке на соответствие этому якорю доверия. Убедитесь, что цепочка сертификатов включает корневой сертификат.

Операция загрузки цепочки сертификатов

• CGEN1008 — не удалось обработать запрос, так как произошла ошибка
• CSEC9002 Невозможно загрузить сертификат, так как предоставлен недействительный файл сертификата.

CGEN1008 — не удалось обработать запрос, так как произошла ошибка.

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

• Недопустимый ключ CSR для цепочки сертификатов
  • Убедитесь, что сертификат был создан с помощью CSR из веб-интерфейса OpenManage Enterprise. OpenManage Enterprise не поддерживает загрузку сертификата, который не был создан с помощью CSR на том же устройстве.
  • В журнале приложений tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Недопустимая цепочка сертификатов
  • В сертификат должны быть включены сертификаты корневого и всех промежуточных центров сертификации.
  • В журнале приложений tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• В конечном сертификате не найдено общее имя — все сертификаты должны включать общие имена и не содержать подстановочных знаков (*).

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

 

• В конечном сертификате отсутствует расширенное использование ключа (EKU) проверки подлинности клиента и сервера
  • Сертификат должен включать проверку подлинности сервера и клиента для расширенного использования ключей.
  • В журнале приложений tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Просмотрите сведения о сертификате, чтобы улучшить использование ключей. Если один из них отсутствует, убедитесь, что шаблон, используемый для создания сертификата, включен для обоих сертификатов.

 

• Отсутствует шифрование ключа для использования ключа
  • Для загружаемого сертификата должен быть указан шифр ключа для использования ключа.
  • В журнале приложений tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

• Просмотрите сведения об использовании ключа в сертификате. Убедитесь, что для шаблона, используемого для создания сертификата, включено шифрование ключей.

 
 

CSEC9002 Невозможно загрузить сертификат, так как предоставлен недействительный файл сертификата.

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.

• Отсутствует ключ шифрования сертификата сервера
  • Убедитесь, что для шаблона, используемого для создания сертификата, включено шифрование ключей. При использовании сертификата для переноса убедитесь, что загружена вся цепочка сертификатов, а не один сертификат сервера.
  • В журнале приложений tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

• Файл сертификата содержит неверную кодировку
  • Убедитесь, что файл сертификата был сохранен с использованием кодировки Base 64.
  • В журнале приложений tomcat, расположенном в пакете журналов консоли, отображается следующая ошибка:

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

Операция проверки подключения для переноса

• Кем выдано и кем выдано — имена центров сертификации в цепочке между исходным и целевым сертификатами имеют одинаковые значения «Кому» и «Кем выдано». Если эти имена не совпадают, исходная или целевая система не может проверить, что сертификаты выданы одними и теми же центрами подписи. Это очень важно для соблюдения структуры безопасности «нулевого доверия».

• Срок действия — сверяет срок действия сертификата с датой и временем устройства.
• Максимальная глубина — убедитесь, что цепочка сертификатов не превышает максимальную глубину в 10 конечных сертификатов.

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

Обход требования цепочки сертификатов

Если проблемы с соответствием требованиям цепочки сертификатов сохраняются, существует поддерживаемый метод, который можно использовать для использования самозаверяющих сертификатов. Используйте функцию резервного копирования и восстановления, как описано в следующей статье:

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur