Dell Unity: Sådan ændres KMIP-servere (eller skift til en anden leverandør)

Summary: Sådan ændrer du KMIP-servere (Key Management Interoperability Protocol) (ELLER skifter til en anden leverandør).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Der kræves to certifikattyper til KMIP-konfigurationer: CA- (Certificate Authority) og KMIP-klientcertifikater. Bekræft, om nøglecenteret skal opdateres, KMIP-klientcertifikatet eller begge dele.

Forudsætninger:

  • KMIP-serverne skal være tilgængelige og køre, for at KMIP kan aktiveres eller deaktiveres.
  • Når du uploader en nyere version af klientens KMIP-certifikat til Unity, er der altid en risiko for, at det kan medføre et problem, hvis det ikke er identisk med det tidligere klientcertifikat bortset fra udløbsdatoerne FRA og TIL. 
  • Dette er grunden til, at det anbefales at deaktivere KMIP på Unity som en forholdsregel, når du opdaterer certifikater. Hvis der er et problem, aktiveres KMIP ikke, hvis certifikaterne ikke er korrekte.
  • Sikkerhedskopier D@RE nøglelager fra KMIP-klienten, når en disk eller Service Process (SP) udskiftes, eller før du foretager certifikatændringer. 
  • Det anbefales, at den seneste kopi af den seneste KMIP-klientcertifikatfil overføres og bruges til at aktivere KMIP. Dette er i tilfælde af, at det nogensinde er nødvendigt. 

Scenarie 1: Kun ændre én certifikattype ad gangen. Dette kan f.eks. være et opdateret certifikat for udløbsdatoer. 
Ændringer kan foretages fra Unisphere Manager. Log ind på Unisphere, gå til tandhjulsikonet Indstillinger på menulinjen øverst til højre, vælg Administrationsindstillinger, og vælg derefter Kryptering.

  1. Deaktiver KMIP, mens systemet stadig kan oprette forbindelse til den oprindelige KMIP-server.
    Dette sikrer, at masternøglen på KMIP-klienten/serveren ikke går tabt, hvis der opstår problemer under overgangen.
  2. Hvis der ikke kræves ændringer med de CA-certifikater, der allerede er importeret til Unity, skal du kun ændre KMIP-serverne. Importér et nyt klient-KMIP-certifikat. Hvis der i stedet er behov for ændringer af CA-certifikatet, skal du ændre dette certifikat og importere det ved hjælp af Unisphere. Hvis begge har brug for en opdatering, skal du først udføre nøglecenteret og aktivere KMIP igen for at sikre, at det lykkes. Gentag trin 1-3 igen for KMIP-klientcertifikatet. 
  3. Aktivér KMIP.

Scenarie 2: Ændring af CA-certifikatet eller KMIP-klientcertifikatet til en anden leverandør. Hvis der er en væsentlig forskel fra det oprindelige certifikat, kræves følgende.

Dermed ryddes der ud i Unity KMIP-lockboxen, hvor konfigurationen og certifikaterne gemmes og konfigureres fra starten med de påkrævede certifikater. 

Dette kræver, at du kontakter Dell Support og henviser til denne KB-artikel: Dell Unity: Modtagelse af en certifikatfejl, når du forsøger at aktivere KMIP-server

  1. Deaktiver KMIP ved hjælp af Unisphere fra trin 1 ovenfor.
  2. Slet KMIP-konfigurationen. Dette bruger den interne del af KB'en ovenfor, som har brug for en rodskal på højere niveau.
  3. Opret den nye KMIP-konfiguration. Opret et nyt CA- og KMIP-klientcertifikat baseret på leverandørkravene.
  4. Upload det nye nøglecenter og klientens KMIP-certifikater.
  5. Aktivér KMIP.

Additional Information

Yderligere oplysninger om certifikatændringer:

  • Det er muligt at have flere CA-certifikater, og nogle kan være udløbet. Hvis et nyt certifikat uploades, og det matcher emnenavnet på et eksisterende CA-certifikat, erstattes det.
  • Det er bedste praksis IKKE at have CA, og KMIP-klientcertifikater udløber for tæt på hinanden til at give tid til at opdatere CA eller klienten og bekræfte, at de fungerer. 
  • Der findes muligvis kun ét KMIP-klientcertifikat. I Unisphere under knappen Certifikatstyring opdateres datoerne, når den ændrede overførsel af klientcertifikater er gennemført.
  • Hvis der er problemer med det nye uploadede klientcertifikat, kan Unity muligvis ikke hente den D@RE nøglelagertændingsnøgle fra KMIP-serveren. Dette kan være en grund til, at KMIP-fejl sker, når et forsøg på at verificere eller aktivere udføres. 

Oplysninger om KMIP-kommandolinjen:
Det er muligt at bruge kommandolinjen Unity til at uploade eller kontrollere status for KMIP. 

Overførsel af KMIP-certifikater fra kommandolinjen vises ikke her. Se Unitys sikkerhedskonfigurationsvejledning for at få flere oplysninger.

Dette websted er Dell Unity-informationshubben Produktdokumenter og -oplysninger: Webstedet indeholder det meste af den offentlige dokumentation for Unity-produkterne: Informationscenter for Dell Unity

Søge: Unity-sikkerhedskonfigurationsvejledning

Dette åbner et link til PDF-filen til programguiden, og det kræver et login at se. 

Nedenfor er nyttige nogle nyttige eksempler på Unity-serviceskal:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Referencer:
Dell Unity: Kryptering af inaktive data.
Dell Unity: Kryptering af inaktive data – hvidbog

Se disse yderligere vidensartikler for at få flere oplysninger:
Dell Unity: KMIP-server kan ikke konfigureres, når der bruges eksternt Microsoft CA til at signere klientcertifikat (kan rettes af brugeren)

Dell Unity: Sådan konverteres et inkompatibelt PKCS#12-klientcertifikat til brug med KMIP

Se leverandørdokumentationen for at få oplysninger om konfiguration af KMIP.
Nogle leverandører bruger klientcertifikater, som kræver et tomt brugernavn og en tom adgangskode. 

Affected Products

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid
Article Properties
Article Number: 000223263
Article Type: How To
Last Modified: 12 ديسمبر 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.