Dell Unity: KMIP-Server ändern (oder zu einem anderen Anbieter wechseln)

Für KMIP-Konfigurationen sind zwei Zertifikattypen erforderlich: Zertifikate der Zertifizierungsstelle (CA) und des KMIP-Clients. Überprüfen Sie, ob die Zertifizierungsstelle, das KMIP-Clientzertifikat oder beides aktualisiert werden muss.

Voraussetzungen:

• Die KMIP-Server müssen zugänglich sein und ausgeführt werden, damit KMIP aktiviert oder deaktiviert werden kann.
• Beim Hochladen einer neueren Version des Client-KMIP-Zertifikats auf Unity besteht immer das Risiko, dass ein Problem auftreten kann, wenn es mit Ausnahme des Ablaufdatums FROM und BIS nicht mit dem vorherigen Clientzertifikat identisch ist. 
• Aus diesem Grund wird empfohlen, KMIP auf Unity als Vorsichtsmaßnahme bei der Aktualisierung von Zertifikaten zu deaktivieren. Wenn ein Problem vorliegt, wird KMIP nicht aktiviert, wenn die Zertifikate nicht korrekt sind.
• Sichern Sie den D@RE Keystore vom KMIP-Client, wenn eine Festplatte oder ein Serviceprozess (SP) ausgetauscht wird oder bevor Sie Zertifikatsänderungen vornehmen. 
• Es wird empfohlen, die neueste Kopie der letzten KMIP-Clientzertifikatdatei aufzubewahren, die erfolgreich hochgeladen und zur Aktivierung von KMIP verwendet wurde. Dies ist für den Fall, dass es jemals benötigt wird. 

Szenario 1: Ändern Sie jeweils nur einen Zertifikattyp. Dies kann beispielsweise ein aktualisiertes Zertifikat für Ablaufdaten sein. 
Änderungen können über Unisphere Manager vorgenommen werden. Melden Sie sich bei Unisphere an, gehen Sie zum Zahnradsymbol Einstellungen in der oberen rechten Menüleiste, wählen Sie Managementoptionen und dann Verschlüsselung aus.

1. Deaktivieren Sie KMIP, solange das Array noch eine Verbindung zum ursprünglichen KMIP-Server herstellen kann.
   Dadurch wird sichergestellt, dass der Masterschlüssel auf dem KMIP-Client/Server nicht verloren geht, falls während der Umstellung Probleme auftreten.
2. Wenn keine Änderungen an den CA-Zertifikaten erforderlich sind, die bereits in Unity importiert wurden, ändern Sie nur die KMIP-Server. Importieren Sie ein neues Client-KMIP-Zertifikat. Wenn stattdessen Änderungen für das CA-Zertifikat erforderlich sind, ändern Sie dieses Zertifikat und importieren Sie es mit Unisphere. Wenn beide eine Aktualisierung benötigen, führen Sie zuerst die Zertifizierungsstelle durch und aktivieren Sie KMIP erneut, um sicherzustellen, dass sie erfolgreich ist. Wiederholen Sie die Schritte 1 bis 3 erneut für das KMIP-Clientzertifikat. 
3. KMIP aktivieren.

Szenario 2: Ändern des CA-Zertifikats oder KMIP-Clientzertifikats auf einen anderen Anbieter. Wenn eine signifikante Abweichung vom ursprünglichen Zertifikat besteht, ist Folgendes erforderlich.

Dadurch wird die Unity KMIP-Lockbox bereinigt, in der die Konfiguration und Zertifikate gespeichert und von Anfang an mit den erforderlichen Zertifikaten eingerichtet werden. 

Dazu müssen Sie sich an den Dell Support wenden und diesen KB-Artikel lesen: Dell Unity: Beim Versuch, den KMIP-Server zu aktivieren, wird ein Zertifikatfehler angezeigt

1. Deaktivieren Sie KMIP mit Unisphere aus Schritt 1 oben.
2. Löschen Sie die KMIP-Konfiguration. Dabei wird der Abschnitt "Internal" des obigen Wissensdatenbank-Artikels verwendet, der eine übergeordnete Root-Shell benötigt.
3. Erstellen Sie die neue KMIP-Konfiguration. Erstellen Sie ein neues CA- und KMIP-Clientzertifikat basierend auf den Anforderungen des Anbieters.
4. Laden Sie die neue Zertifizierungsstelle und die Client-KMIP-Zertifikate hoch.
5. KMIP aktivieren.

Zusätzliche Informationen zu Zertifikatsänderungen:

• Es ist möglich, mehrere CA-Zertifikate zu haben, von denen einige möglicherweise abgelaufen sind. Wenn ein neues Zertifikat hochgeladen wird und es mit dem Antragstellernamen eines vorhandenen CA-Zertifikats übereinstimmt, wird es ersetzt.
• Es ist eine BEWÄHRTE METHODE, CA- und KMIP-Clientzertifikate NICHT zu nahe beieinander ablaufen zu lassen, um Zeit zu haben, die CA oder den Client zu aktualisieren und zu bestätigen, dass sie funktionieren. 
• Es darf nur ein KMIP-Clientzertifikat vorhanden sein. In Unisphere werden über die Schaltfläche Zertifikatmanagement die Datumsangaben aktualisiert, sobald das geänderte Clientzertifikat erfolgreich hochgeladen wurde.
• Wenn es Probleme mit dem neuen hochgeladenen Clientzertifikat gibt, kann Unity den D@RE Keystore-Zündschlüssel möglicherweise nicht vom KMIP-Server abrufen. Dies kann ein Grund sein, warum KMIP-Fehler auftreten, wenn versucht wird, sie zu überprüfen oder zu aktivieren. 

KMIP-Befehlszeileninfo:
Es ist möglich, die Unity-Befehlszeile zu verwenden, um KMIP hochzuladen oder den Status zu überprüfen. 

Das Hochladen von KMIP-Zertifikaten über die Befehlszeile wird hier nicht gezeigt. Weitere Informationen finden Sie im Unity-Sicherheitskonfigurationsleitfaden .

Bei dieser Website handelt es sich um den Dell Unity Info Hub . Produktdokumente und -informationen: Die Website enthält den größten Teil der öffentlichen Dokumentation für die Unity-Produkte: Info-Hub zu Dell Unity

Suchen: Unity-Sicherheitskonfigurationsleitfaden

Dadurch wird ein Link zur PDF-Datei des Benutzerhandbuchs geöffnet. Zum Anzeigen ist eine Anmeldung erforderlich. 

Im Folgenden finden Sie einige nützliche Beispiele für die Unity-Serviceshell:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Referenzen:
Dell Unity: Data-at-Rest-Verschlüsselung.
Dell Unity: Data-at-Rest-Verschlüsselung – Whitepaper

Weitere Informationen finden Sie in den folgenden zusätzlichen Wissensdatenbank-Artikeln:
Dell Unity: KMIP-Server kann nicht konfiguriert werden, wenn eine externe Microsoft-Zertifizierungsstelle zum Signieren des Clientzertifikats verwendet wird (von NutzerInnen korrigierbar)

Dell Unity: So konvertieren Sie ein inkompatibles PKCS#12-Clientzertifikat für die Verwendung mit KMIP

Informationen zur Konfiguration von KMIP finden Sie in der Herstellerdokumentation.
Einige Anbieter verwenden Clientzertifikate, für die ein leerer Nutzername und ein leeres Kennwort erforderlich sind.