Dell Unity: Come modificare i server KMIP (o passare a un altro fornitore)

Per le configurazioni KMIP sono richiesti due tipi di certificato: Certificati CA (autorità di certificazione) e client KMIP. Verificare se è necessario aggiornare la CA, il certificato client KMIP o entrambi.

Prerequisiti:

• I server KMIP devono essere accessibili e in esecuzione affinché KMIP sia abilitato o disabilitato.
• Quando si carica una versione più recente del certificato KMIP client in Unity, c è sempre il rischio che possa introdurre un problema se non è identico al certificato client precedente diverso dalle date di scadenza FROM e TO. 
• Questo è il motivo per cui si consiglia di disabilitare KMIP su Unity come precauzione durante l'aggiornamento dei certificati. Se si verifica un problema, KMIP non viene abilitato se i certificati non sono corretti.
• Eseguire il backup dell'archivio chiavi D@RE dal client KMIP quando viene sostituito un disco o un processo di servizio (SP) o prima di apportare modifiche ai certificati. 
• Si consiglia di conservare l'ultima copia dell'ultimo file di certificato client KMIP caricato correttamente e utilizzato per abilitare KMIP. Questo nel caso in cui sia mai necessario. 

Scenario 1: Modifica di un solo tipo di certificato alla volta. Potrebbe trattarsi, ad esempio, di un certificato aggiornato per le date di scadenza. 
Le modifiche possono essere apportate da Unisphere Manager. Accedere a Unisphere, passare all'icona a forma di ingranaggio Impostazioni nella barra dei menu in alto a destra, selezionare Opzioni di gestione, quindi selezionare Crittografia.

1. Disabilitare KMIP mentre l'array è ancora in grado di connettersi al server KMIP originale.
   Ciò garantisce che non vi sia alcuna perdita della chiave master sul client/server KMIP in caso di problemi durante la transizione.
2. Se non sono necessarie modifiche con i certificati CA già importati in Unity, modificare solo i server KMIP. Importare un nuovo certificato KMIP client. Se invece sono necessarie modifiche per il certificato CA, modificarlo e importarlo utilizzando Unisphere. Se entrambi necessitano di un aggiornamento, eseguire prima la CA e abilitare nuovamente KMIP per assicurarsi che venga eseguito correttamente. Ripetere i passaggi da 1 a 3 per il certificato client KMIP. 
3. Abilitare KMIP.

Scenario 2: Modifica del certificato CA o del certificato client KMIP con un fornitore diverso. Se esiste una differenza significativa rispetto al certificato originale, è necessario quanto segue.

In questo modo viene pulito l'archivio protetto KMIP di Unity in cui vengono archiviati la configurazione e i certificati, e viene eseguita l'impostazione fin dall'inizio con i certificati richiesti. 

A tale scopo, è necessario contattare il Supporto Dell e fare riferimento a questo articolo della Knowledge Base: Dell Unity: Ricezione di un errore di certificato quando si tenta di abilitare il server KMIP

1. Disabilitare KMIP utilizzando Unisphere dal passaggio 1 precedente.
2. Eliminare la configurazione KMIP. Viene utilizzata la sezione interna dell'articolo KB precedente, che richiede una shell root di livello superiore.
3. Creare la nuova configurazione KMIP. Creare una nuova CA e un nuovo certificato client KMIP in base ai requisiti dei fornitori.
4. Caricare la nuova CA e i certificati KMIP del client.
5. Abilitare KMIP.

Informazioni aggiuntive per le modifiche dei certificati:

• È possibile avere più certificati CA e alcuni potrebbero essere scaduti. Se viene caricato un nuovo certificato che corrisponde al nome soggetto di un certificato CA esistente, viene sostituito.
• Si tratta di una BEST PRACTICE per NON avere una CA e i certificati del client KMIP scadono troppo vicini l'uno all'altro per dare il tempo di aggiornare la CA o il client e confermare il loro funzionamento. 
• Può esistere un solo certificato client KMIP. In Unisphere, sotto il pulsante Certificate Management, le date vengono aggiornate una volta completato correttamente l'upload del certificato client modificato.
• In caso di problemi con il nuovo certificato client caricato, Unity potrebbe non essere in grado di ottenere la chiave di accensione dell'archivio chiavi D@RE dal server KMIP. Questo può essere uno dei motivi per cui si verificano errori KMIP quando si tenta di verificare o abilitare. 

Informazioni sulla riga di comando di KMIP:
È possibile utilizzare la riga di comando di Unity per caricare o controllare lo stato di KMIP. 

Il caricamento dei certificati KMIP dalla riga di comando non viene visualizzato qui. Per ulteriori informazioni, consultare la Guida alla configurazione della sicurezza di Unity .

Questo sito è l'hub di informazioni Dell Unity Documenti e informazioni sui prodotti: Il sito fornisce la maggior parte della documentazione pubblica per i prodotti Unity: Hub di informazioni su Dell Unity

Cercare: Guida alla configurazione della sicurezza di Unity

Verrà aperto un link al PDF della Guida che richiede l'accesso per essere visualizzato. 

Di seguito sono riportati alcuni utili esempi di shell del servizio Unity:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Riferimenti:
Dell Unity: Crittografia dei dati inattivi.
Dell Unity: Crittografia dei dati inattivi: white paper

Per ulteriori informazioni, fare riferimento ai seguenti articoli aggiuntivi della knowledgebase:
Dell Unity: Impossibile configurare il server KMIP quando si utilizza una CA Microsoft esterna per firmare il certificato client (correggibile dall'utente)

Dell Unity: Come convertire un certificato client PKCS#12 incompatibile per l'utilizzo con KMIP

Per la configurazione di KMIP, fare riferimento alla documentazione del fornitore.
Alcuni fornitori utilizzano certificati client che richiedono un nome utente e una password vuoti.