1 Rookie
•
529 メッセージ
0
2493
Unity SSL証明書について
こんにちは
Unityにログインするときに必要なSSL証明書について
教えてください。
UnityにserviceユーザでSSL接続して「uemcli -certList」で
現在のSSL証明書の内容を確認しました。
その後SSL証明書を「uemcli -certClear」で削除して「uemcli -certList」を
実行すると、証明書が無いのでSSL証明書の内容は表示されなくなります。
このSSLが無い状態でもUnityGUIにはログインすることができます。
SSL証明書を再作成するには「IPを再設定するのが良い」ようですが、
本番運用中にIPを変更して元に戻すのはハードルが高いです。
IPアドレスを変更せずに(CLIなどで)SSL証明書を再作成する方法はないでしょうか?
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
0
2020年4月2日 01:00
maruyoさん
今何かあってもラボに人がすぐに行けない可能性があるのでおそるおそるこちらでも確認してみましたが、maruyoさんのおっしゃる通りに事象が再現しました。
ホスト名の変更に加え、SSHデーモンのoff/on、Peer SPからの確認なども行ったのですが、それでも事象は変わらず・・・
ただ、結論から言うとこれはローカルクライアント側に保存されているSSL証明書の表示をするものであることがわかりました。
(なので、前回お伝えしたKBの処理によって、uemcli -certListに再度情報が表示されるものではありませんでした。申し訳ありません・・・)
私も最初はTeraTermでUnityにSSH接続をして、「uemcli -certList」を打っていたのですが、その表示上はどうやっても情報が復活することはありませんでした。
その為に、次はUnisphere CLIがインストールされたWindows端末のコマンドプロンプトから当該Unityに対して「uemcli -d -u admin -p <パスワード> -certList」を実行したところ、TeraTermからSSH接続によるコマンド実行では表示されなくなっていた、UnityのSSL証明書情報が表示されました(その他のUnityの証明書も複数個表示されました)。
この時点で、「あ、これはローカルクライアントに保存されている方の証明書だろう」とは思ったのですが、念のために「-certDel」コマンドで今まで利用していたUnityの証明書情報を削除した後、「-certList」で該当証明書がリストから消えているのを確認し、その後証明書情報を消したUnityに対して「/stor/config/pool show -detail」コマンドを実行すると、先ほど(ローカルクライアントから)削除した証明書情報がコマンドプロンプト上に表示され、その下に
Would you like to:
[1] Accept the certificate for this session
[2] Reject the certificate
[3] Accept and store
Please input your selection (The default selection is [1]):
というような(見慣れた)プロンプトが出てきました。
このプロンプトに対して「[3] Accept and store」を選択すると、また当該UnityのSSL証明書情報がローカルホストに保存され、「-certList」コマンドで表示されるようになりました。
なぜSSH接続した際にも最初にSSL証明書情報が「-certList」で出てくるのかは不明なのですが、SSHから「-certClear」「-certDel」などでその情報をクリアしてしまうと、おそらく再度表示させることは出来ないのかと。とはいえそのSSL証明書の情報自体がUnity側から消えているわけではないので、接続等に問題が発生することはありません。
(SSH接続の時は、最初に接続の可否を聞かれ、可にすると証明書は自動でローカルに保存されるはずなのですが、その情報はuemcli -certListでは持ってこないみたいです)
Uehara Y.
Community Manager
Community Manager
•
4.9K メッセージ
0
2020年4月1日 00:00
maruyoさん
KB490691-Dell EMC Unity: How to manually renew a Unity Management SSL certificate. (https:/support.emc.com/kb/490691)にある方法が利用できそうです。
この方法であれば、Unityのホスト名を一度変更して再度元に戻すだけで(IPアドレスの変更なしに)SSL証明書を再作成してくれるはずです。
maruyo
1 Rookie
1 Rookie
•
529 メッセージ
0
2020年4月1日 01:00
Uehara Yさん
回答ありがとうございました。
実は、以下の手順を実行済みなのですが・・
①「uemcli -certList」で証明書期限を確認
②「uemcli -certClear」実行
③「uemcli -certList」で証明書期限が表示されない事を確認
④GUIでホスト名を一旦変更して「更新」
⑤GUIでホスト名戻して「更新」
⑥「uemcli -certList」を実行しても結果が表示されないのです
(勿論、SSH接続もsphere接続も出来てるので証明書は更新済みのはず)
という事は④と⑤で新規作成されたSSL証明書は「uemcli -certList」が参照している
エリア以外に作成されているという事なのかなぁと思っています。
「uemcli -certList」で再度有効期限を確認できるようにするにはどうしたら良いか
何方かご教授頂けないしょうか
☆明日はCLIでホスト名を再設定する方法を試してみます!
maruyo
1 Rookie
1 Rookie
•
529 メッセージ
0
2020年4月1日 19:00
CLIを試してみました
①「uemcli -certList」で現在の証明書期限を確認
②「svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f newname」実行
③「svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f orgname」実行
④「uemcli -certList」で現在の証明書期限を確認
⇒①の表示と同じで②③による新しい有効期限が表示されませんでした
そもそも「uemcli -certList」でSSL証明書の有効期限を確認するのが
間違えなのでしょうか?
KBのお尻にある以下の記述が気になります・・
★ブラウザ側のSSL証明書を表示させると、有効期限が更新される事は確認できたのですが
「uemcli -certList」の結果が気になるので情報提供頂けるとたすかります
You cannot view the certificate through Unisphere or the Unisphere CLI;however, you can view the certificate through a browser client or a web tool that tries to connect to the management port.
maruyo
1 Rookie
1 Rookie
•
529 メッセージ
0
2020年4月2日 16:00
UeharaY.さん
いろいろ困難な状況の中、実機確認まで行って頂き感謝&ありがとうございました。
私の妄想なのですが・・・
最初は-certListで表示が有るので、初期構築時や自動更新時には
コマンド参照エリアに情報が保存されるけど、手動操作した時は
コマンド参照エリアに手動転送しないといけないのかなぁと・・