Dell Unity : Comment modifier les serveurs KMIP (ou passer à un autre fournisseur)

Deux types de certificats sont requis pour les configurations KMIP : Certificat d’autorité de certification (CA) et de client KMIP. Indiquez si l’autorité de certification doit être mise à jour, si le certificat client KMIP ou les deux doivent être mis à jour.

Configuration requise :

• Les serveurs KMIP doivent être accessibles et en cours d’exécution pour que KMIP soit activé ou désactivé.
• Lors du téléchargement d’une version plus récente du certificat client KMIP sur Unity, il existe toujours un risque qu’il introduise un problème s’il n’est pas identique au certificat client précédent autre que les dates d’expiration DE et FIN. 
• C’est la raison pour laquelle il est recommandé de désactiver KMIP sur Unity par mesure de précaution lors de la mise à jour des certificats. En cas de problème, KMIP n’est pas activé si les certificats ne sont pas corrects.
• Sauvegardez le magasin de clés D@RE à partir du client KMIP lorsqu’un disque ou un Service Process (SP) est remplacé ou avant d’apporter des modifications au certificat. 
• Il est recommandé de conserver la dernière copie du dernier fichier de certificat client KMIP téléchargé et utilisé pour activer KMIP. C’est dans le cas où cela est nécessaire. 

Scénario 1 : Modification d’un seul type de certificat à la fois. Il peut s’agir, par exemple, d’un certificat mis à jour pour les dates d’expiration. 
Les modifications peuvent être effectuées à partir de Unisphere Manager. Connectez-vous à Unisphere, accédez à l’icône Paramètres en forme d’engrenage dans la barre de menus supérieure droite, sélectionnez Options de gestion, puis Chiffrement.

1. Désactivez KMIP pendant que la baie peut toujours se connecter au serveur KMIP d’origine.
   Cela garantit qu’il n’y a aucune perte de la clé principale sur le client/serveur KMIP si des problèmes se produisent pendant la transition.
2. Si aucune modification n’est requise avec les certificats d’autorité de certification déjà importés dans Unity, modifiez uniquement les serveurs KMIP. Importez un nouveau certificat KMIP client. Si des modifications sont nécessaires pour le certificat d’autorité de certification, modifiez ce certificat et importez-le à l’aide d’Unisphere. Si les deux ont besoin d’une mise à jour, effectuez d’abord la CA et réactivez KMIP pour vous assurer qu’elle réussit. Répétez les étapes 1 à 3 pour le certificat client KMIP. 
3. Activez KMIP.

Scénario 2 : Modification du certificat d’autorité de certification ou du certificat client KMIP pour un autre fournisseur. S’il existe une différence significative par rapport au certificat d’origine, les éléments suivants sont requis.

Cela nettoie le lockbox KMIP Unity dans lequel la configuration et les certificats sont stockés et configurés dès le début avec les certificats requis. 

Pour cela, vous devez contacter le support Dell et consulter cet article de la base de connaissances : Dell Unity : Réception d’une erreur de certificat lors de la tentative d’activation du serveur KMIP

1. Désactivez KMIP à l’aide de Unisphere à partir de l’étape 1 ci-dessus.
2. Supprimez la configuration KMIP. Cette opération utilise la section interne de l’article de la base de connaissances ci-dessus, qui nécessite un shell racine de niveau supérieur.
3. Créez la nouvelle configuration KMIP. Créez un nouveau certificat CA et client KMIP en fonction des exigences des fournisseurs.
4. Téléchargez la nouvelle autorité de certification et les certificats KMIP du client.
5. Activez KMIP.

Informations supplémentaires pour les modifications de certificat :

• Il est possible d’avoir plusieurs certificats CA, dont certains peuvent avoir expiré. Si un nouveau certificat est téléchargé et qu’il correspond au nom d’objet d’un certificat d’autorité de certification existant, il est remplacé.
• Il est recommandé de NE PAS disposer d’une CA et les certificats clients KMIP expirent trop près les uns des autres pour donner le temps de mettre à jour l’autorité de certification ou le client et de confirmer leur fonctionnement. 
• Il ne peut exister qu’un seul certificat client KMIP. Dans Unisphere, sous le bouton Gestion des certificats, les dates sont mises à jour une fois le téléchargement du certificat client modifié effectué.
• En cas de problème avec le nouveau certificat client chargé, il se peut que Unity ne puisse pas obtenir la clé de démarrage du magasin de clés D@RE à partir du serveur KMIP. Cela peut être une raison pour laquelle des erreurs KMIP se produisent lorsqu’une tentative de vérification ou d’activation est effectuée. 

Informations sur la ligne de commande KMIP :
Il est possible d’utiliser la ligne de commande Unity pour télécharger ou vérifier l’état de KMIP. 

Le téléchargement de certificats KMIP à partir de la ligne de commande n’est pas affiché ici. Pour plus d’informations, reportez-vous au Guide de configuration de la sécurité Unity .

Ce site contient les documents et informations sur le produit Dell Unity Info Hub : Le site fournit la plupart de la documentation publique pour les produits Unity : Hub d’informations Dell Unity

Chercher: Guide de configuration de la sécurité Unity

Cela ouvre un lien vers le PDF du guide, et nécessite une connexion pour le consulter. 

Vous trouverez ci-dessous quelques exemples utiles d’Unity Service Shell :

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Références :
Dell Unity : Chiffrement des données au repos.
Dell Unity : Chiffrement des données au repos : livre

blancPour plus d’informations, reportez-vous à ces articles de la base de connaissances supplémentaires :
Dell Unity : Impossible de configurer le serveur KMIP lors de l’utilisation d’une autorité de certification Microsoft externe pour signer le certificat client (corrigible par l’utilisateur)

Dell Unity : Conversion d’un certificat client PKCS#12 incompatible pour une utilisation avec KMIP

Reportez-vous à la documentation du fournisseur pour la configuration de KMIP.
Certains fournisseurs utilisent des certificats clients qui nécessitent un nom d’utilisateur et un mot de passe vides.