Data Domain:當 KMIP 伺服器憑證有信任鏈時,設定外部金鑰管理器 (KMIP) 會失敗

摘要: 設定外部金鑰管理器 (KIMP) 時,如果 DD 與 KMIP 伺服器之間的信任是透過信任鏈結 (KMIP 憑證並非由根 CA 發出,而是由中繼 CA 發出),則無法從 DD CLI 或 UI 正確設定。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

CLI 或 Web UI 可用來使用 KMIP 通訊協定設定外部金鑰管理器,以供 FS 加密或其他用途使用。

在程式的某個時間點,DD 會要求與認證機構 (CA) 根憑證相對應的公有憑證,該憑證用於簽署 KMIP 伺服器用來驗證自己的憑證。
如果 KMIP 憑證並非由 CA root 發出,而是由中繼 CA 發出,則所有中繼 CAS 的公有憑證都必須傳遞至以文本形式 (PEM) 形式循序的 DD。

在這種情況下,儘管檔案的信任鏈結是正確的,DD 將無法信任 KMIP 伺服器 SSL 憑證,而且在記錄 (ddfs.info/messages.engineering/kmip.log) 中會出現下列錯誤:
  
Mar 14 00:00:04 cdd01 ddfs[23019]: NOTICE: cp_keys_get_active_from_plugin: Error [Failed to synchronize keys] in retrieving the active key for CipherTrust plugin

03/14 00:00:04.109243 [7fef03520040] ERROR: Failed validating server, error code = -300, error_msg = There was an error with the TLS connection

DD CLI 的外部金鑰管理器狀態如下所示 (filesys encryption key-manager show):
  
Key manager in use: CipherTrust

Server: kmip-server.example.com Port: 5697
Status: Offline: ** KMIP is not configured correctly.
Key-class: redacted KMIP-user: REDACTED-FOR-PRIVACY
Key rotation period: not-configured
Last key rotation date: N/A
Next key rotation date: N/A

原因

自 2023 年 3 月起,CLI 和 Web UI 工作流程使得 DDOS 不允許匯入多個 CA 憑證,讓 KMIP 信任。這是設計設計。

當 ROOT CA 未簽署 KMIP 伺服器憑證時,DDOS 拒絕接受鏈結中的所有憑證,因此 DD 無法使用 SSL 安全地連線至 KMIP 伺服器,因為它不信任 KMIP 伺服器憑證的簽發者 (中繼) CA。

解析度

因應措施:
請聯絡 DELL Data Domain 支援,以取得在一般 CLI 和 Web UI 之外執行此組態的協助。這不需要停機時間,但需要 BASH 層級存取,才能在系統上手動建立具有 KMIP 伺服器信任鏈結的檔案。

永久解決方案:
此功能沒有要新增至 DDOS 的目標版本,因此在為外部金鑰管理器設定 KMIP 時,如果簽署 CA 不是 root 一,則可從 CLI 或 Web UI 匯入所有中繼憑證。

受影響的產品

Data Domain
文章屬性
文章編號: 000211676
文章類型: Solution
上次修改時間: 27 5月 2026
版本:  4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。