Artikelnummer: 000221202

对 OpenManage Enterprise 迁移所需的证书链问题进行故障处理

Sammanfattning: 在证书链上传（CGEN1008 和 CSEC9002）和连接验证阶段，OpenManage Enterprise 管理员可能会遇到多个错误。以下指南可帮助 OpenManage Enterprise 管理员在迁移过程的此阶段遇到错误。

Den här artikeln kan ha översatts automatiskt. Om du har feedback angående kvaliteten kan du meddela oss via formuläret längst ned på den här sidan.

Artikelns innehåll

Instruktioner

设备迁移过程利用双向 TLS （mTLS）。这种类型的相互身份验证在默认不信任任何内容的零信任安全框架中使用。

在典型的 TLS 交换中，服务器持有 TLS 证书以及公钥和私钥对。客户端验证服务器证书，然后继续通过加密会话交换信息。使用 mTLS，客户端和服务器在开始交换任何数据之前都会验证证书。
mTLS 客户端和服务器通信图

在继续迁移操作之前，任何使用第三方签名证书的 OpenManage Enterprise 设备都需要上传证书链。证书链是包含 SSL/TLS 证书和证书颁发机构（CA）证书的有序列表。链以独立证书开始，链中的每个证书都由链中下一个证书标识的实体签名。

证书 = CA 签名证书（独立）
证书链 = CA 签名证书 + 中间 CA 证书（如果有）+ 根 CA 证书

证书链必须满足以下要求，否则管理员将看到错误。

迁移的证书链要求

证书签名请求密钥匹配 — 在证书上传过程中，将检查证书签名请求（CSR）密钥。OpenManage Enterprise 仅支持上传该设备使用证书签名请求（CSR）请求的证书。此验证检查在单个服务器证书和证书链的上传期间执行。
证书编码 — 证书文件需要 Base 64 编码。确保在保存从证书颁发机构导出的证书时使用 Base 64 编码，否则证书文件将被视为无效。
验证证书增强型密钥用法 — 检查以确保为服务器身份验证和客户端身份验证启用了密钥用法。这是因为迁移是源和目标之间的双向通信，其中任一都可以在信息交换期间充当服务器和客户端。对于单个服务器证书，只需要服务器身份验证。
为证书启用了密钥加密 — 用于生成证书的证书模板必须包括密钥加密。这可确保证书中的密钥可用于加密通信。
Certificate Chain with root certificate— 证书包含包含根证书的完整链。源和目标需要这样做，以确保两者都是可信的。根证书将添加到每个设备的受信任根存储中。重要提示：OpenManage Enterprise 在证书链中最多支持 10 个主证书。
颁发方和颁发方 — 根证书用作信任锚，然后用于根据该信任锚验证链中的所有证书。确保证书链包含根证书。

**证书链示例**
发行对象	发行方
OMENT（设备）	CA1 间
CA1 间	Root-CA
*Root-CA*	Root-CA

证书链上传操作

获取完整证书链后，OpenManage Enterprise 管理员必须通过 Web UI 上传链 - “应用程序设置 -> 安全性 - 证书”。

如果证书不符合要求，Web UI 中会显示以下错误之一：

CGEN1008 — 无法处理请求，因为发生了一个错误
CSEC9002 — 无法上传证书，因为提供的证书文件无效。

以下部分重点介绍了错误、条件触发器以及如何修正。

CGEN1008 — 无法处理请求，因为发生了一个错误。

CGEN1008 - Unable to process the request because an error occurred.
Retry the operation. If the issue persists, contact your system administrator.

如果满足以下任一错误条件，则会显示 CGEN1008 错误：

证书链的 CSR 密钥无效
- 确保证书是使用 OpenManage Enterprise Web UI 中的 CSR 生成的。OpenManage Enterprise 不支持从同一设备上传不是使用 CSR 生成的证书。
- 在位于控制台日志包中的 tomcat 应用程序日志中显示以下错误：

./tomcat/application.log

[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

证书链无效
- 证书中必须包含根证书和所有中间证书颁发机构的证书。
- 在位于控制台日志包中的 tomcat 应用程序日志中显示以下错误：

./tomcat/application.log

[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

在叶证书中找不到通用名称 — 所有证书都必须包含通用名称，并且不包含任何通配符（*）。

提醒：OpenManage Enterprise 不支持通配符（*）证书。在可分辨名称中使用通配符（*）从 Web UI 生成 CSR 会生成以下错误：

CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.

证书上传错误 CGEN6002 无法完成请求，因为 DistinguishedName 的输入值缺失或输入的值无效

叶证书中不存在客户端和服务器身份验证扩展密钥用法（EKU）
- 证书必须包括服务器和客户端身份验证，以用于扩展密钥使用。
- 在位于控制台日志包中的 tomcat 应用程序日志中显示以下错误：

./tomcat/application.log

[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

查看增强密钥用法的证书详细信息。如果缺少任何一个，请确保为两者启用用于生成证书的模板。

密钥用法缺少密钥加密
- 要上传的证书必须列出密钥用法的密钥加密。
- 在位于控制台日志包中的 tomcat 应用程序日志中显示以下错误：

./tomcat/application.log

[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
 Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
 See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}

查看证书详细信息以了解密钥用法。确保用于生成证书的模板已启用密钥加密。

CSEC9002 — 无法上传证书，因为提供的证书文件无效。

CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid.
Make sure the CA certificate and private key are correct and retry the operation.

如果满足以下任何错误条件，则会显示 CSEC9002 错误：

服务器证书缺少密钥加密
- 确保用于生成证书的模板已启用密钥加密。利用证书进行迁移时，请确保上传完整的证书链，而不是单个服务器证书。
- 在位于控制台日志包中的 tomcat 应用程序日志中显示以下错误：

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

证书文件包含错误的编码
- 确保使用 Base 64 编码保存证书文件。
- 在位于控制台日志包中的 tomcat 应用程序日志中显示以下错误：

./tomcat/application.log

[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}

迁移连接验证操作

成功上传证书链后，迁移过程可以继续执行下一步 — 在源控制台和目标控制台之间建立连接。在此步骤中，OpenManage Enterprise 管理员提供源控制台和目标控制台的 IP 地址和本地管理员凭据。

验证连接时将检查以下项目：

颁发方和颁发方 — 源证书和目标证书之间的链中证书颁发机构的名称具有相同的“颁发方”和“颁发方”。如果这些名称不匹配，则源或目标无法验证证书是否由相同的签名颁发机构颁发。这对于遵守零信任安全框架至关重要。

**源和目标之间的有效证书链**
源证书			目标证书
发行对象	发行方		发行对象	发行方
OMENT-310（来源）	CA1 间	<->	OMENT-400（目标）	CA1 间
CA1 间	Root-CA	<->	CA1 间	Root-CA
Root-CA	Root-CA	<->	Root-CA	Root-CA

**源和目标之间的证书链无效**
源证书			目标证书
发行对象	发行方		发行对象	发行方
OMENT-310（来源）	CA1 间	X	OMENT-400（目标）	CA2 间
CA1 间	Root-CA	X	CA2 间	Root-CA
Root-CA	Root-CA	<->	Root-CA	Root-CA

有效期 — 使用设备的日期和时间检查证书有效期。
最大深度 — 验证证书链是否不超过 10 个叶证书的最大深度。

如果证书不符合上述要求，则在尝试验证控制台连接时会显示以下错误：

Unable to mutually authenticate and connect to the remote appliance.
Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.

绕过证书链要求

如果仍然存在符合证书链要求的问题，则可以使用一种受支持的方法来利用自签名证书。继续利用以下文章中所述的备份和还原功能：

https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur

Artikelegenskaper

Berörd produkt

Dell EMC OpenManage Enterprise

Senaste publiceringsdatum

25 apr. 2024

Version

Artikeltyp

How To

Tillbaka till början

Välkommen

Välkommen till Dell