Dell Unity: Cómo modificar servidores KMIP (o cambiar a un proveedor diferente)

Existen dos tipos de certificados necesarios para las configuraciones de KMIP: Certificados de la autoridad de certificación (CA) y del cliente KMIP. Confirme si se debe actualizar la CA, el certificado del cliente KMIP o ambos.

Requisitos previos:

• Los servidores KMIP deben ser accesibles y estar en ejecución para que KMIP se habilite o deshabilite.
• Cuando se carga una versión más reciente del certificado KMIP del cliente a Unity, siempre existe el riesgo de que se presente un problema si no es idéntico al certificado del cliente anterior, aparte de las fechas de vencimiento DESDE y Hasta. 
• Este es el motivo por el que se recomienda deshabilitar KMIP en Unity como medida de precaución cuando se actualizan los certificados. Si hay un problema, KMIP no se habilita si los certificados no son correctos.
• Respalde el almacén de claves de D@RE desde el cliente KMIP cuando se reemplace un disco o un proceso de servicio (SP), o antes de realizar cambios en el certificado. 
• Se recomienda conservar la copia más reciente del último archivo de certificado del cliente KMIP cargado y utilizado correctamente para habilitar KMIP. Esto es en el caso de que alguna vez sea necesario. 

Situación 1: Cambiar solo un tipo de certificado a la vez. Este podría ser un certificado actualizado para las fechas de vencimiento, por ejemplo. 
Los cambios se pueden realizar desde Unisphere Manager. Inicie sesión en Unisphere, vaya al icono de engranaje de configuración en la barra de menú superior derecha, seleccione Opciones de administración y, a continuación, seleccione Cifrado.

1. Deshabilite KMIP mientras el arreglo aún puede conectarse al servidor KMIP original.
   Esto garantiza que no se pierda la clave maestra en el cliente/servidor KMIP en caso de que se produzcan problemas durante la transición.
2. Si no se requieren cambios en los certificados de CA que ya se importaron a Unity, modifique solo los servidores KMIP. Importe un nuevo certificado KMIP de cliente. Si, en cambio, es necesario realizar cambios en el certificado de CA, modifique este certificado e impórtelo mediante Unisphere. Si ambos necesitan una actualización, realice primero la CA y vuelva a habilitar KMIP para asegurarse de que se realice correctamente. Repita nuevamente los pasos del 1 al 3 para el certificado del cliente KMIP. 
3. Habilite KMIP.

Situación 2: Cambiar el certificado de CA o el certificado del cliente KMIP a un proveedor diferente. Si existe una diferencia significativa con respecto al certificado original, se requiere lo siguiente.

Esto limpia la caja de seguridad de KMIP de Unity donde se almacenan la configuración y los certificados, y se configura desde el principio con los certificados necesarios. 

Para ello, debe ponerse en contacto con el soporte de Dell y consultar este artículo de la base de conocimientos: Dell Unity: Error al recibir un certificado cuando se intenta habilitar el servidor KMIP

1. Deshabilite KMIP mediante Unisphere del paso 1 anterior.
2. Elimine la configuración de KMIP. Esto utiliza la sección interna de la base de conocimientos anterior, que necesita un shell raíz de nivel superior.
3. Cree la nueva configuración de KMIP. Cree un nuevo certificado de cliente de CA y KMIP según los requisitos de los proveedores.
4. Cargue la nueva CA y los certificados KMIP del cliente.
5. Habilite KMIP.

Información adicional sobre los cambios de certificado:

• Es posible tener varios certificados de CA y algunos pueden estar vencidos. Si se carga un nuevo certificado que coincide con el nombre de sujeto de un certificado de CA existente, se reemplaza.
• Una MEJOR PRÁCTICA es NO tener una CA, y los certificados de cliente KMIP vencen demasiado cerca uno del otro para dar tiempo a actualizar la CA o el cliente y confirmar que funcionan. 
• Solo puede existir un certificado de cliente KMIP. En Unisphere, en el botón Administración de certificados, las fechas se actualizan una vez que la carga del certificado de cliente modificado se realiza correctamente.
• Si hay problemas con el nuevo certificado de cliente cargado, es posible que Unity no pueda obtener la clave de encendido del almacén de claves D@RE desde el servidor KMIP. Esta puede ser una razón por la que se producen errores de KMIP cuando se realiza un intento de verificación o habilitación. 

Información de la línea de comandos de KMIP:
Es posible utilizar la línea de comandos de Unity para cargar o comprobar el estado de KMIP. 

La carga de certificados KMIP desde la línea de comandos no se muestra aquí. Consulte la Guía de configuración de seguridad de Unity para obtener más información.

Este sitio contiene los documentos y la información del producto Dell Unity Info Hub : El sitio proporciona la mayor parte de la documentación pública de los productos Unity: Centro de información de Dell Unity

Buscar: Guía de configuración de seguridad de Unity

Esto abre un enlace al PDF de la guía y requiere un inicio de sesión para verlo. 

A continuación, se muestran algunos ejemplos útiles de shell de servicio de Unity:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Referencias:
Dell Unity: Cifrado de datos en reposo.
Dell Unity: Cifrado de datos en reposo: documentación técnica

Consulte estos artículos de conocimiento adicionales para obtener más información:
Dell Unity: No se puede configurar el servidor KMIP cuando se utiliza una CA de Microsoft externa para firmar el certificado del cliente (corregible por el usuario)

Dell Unity: Cómo convertir un certificado de cliente PKCS#12 incompatible para su uso con KMIP

Consulte la documentación del proveedor para configurar KMIP.
Algunos proveedores utilizan certificados de cliente que necesitan un nombre de usuario y una contraseña vacíos.