Dell Unity:KMIPサーバーを変更する方法(または別のベンダーに切り替える方法)

Summary: Key Management Interoperability Protocol (KMIP)サーバーを変更する方法(または別のベンダーに切り替える方法)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

KMIP構成には、次の2つの証明書タイプが必要です。認証局(CA)とKMIPクライアントの証明書。CA、KMIPクライアント証明書、またはその両方を更新する必要があるかどうかを確認します。

前提条件:

  • KMIPを有効または無効にするには、KMIPサーバーがアクセス可能で実行中である必要があります。
  • 新しいバージョンのクライアントKMIP証明書をUnityにアップロードする場合、有効期限の開始日と終了日以外の以前のクライアント証明書と同一でない場合、問題が発生するリスクが常にあります。 
  • これが、証明書をアップデートする際の予防措置として、UnityでKMIPを無効にすることが推奨される理由です。問題がある場合、証明書が正しくないとKMIPは有効になりません。
  • ディスクまたはサービス プロセス(SP)を交換する場合、または証明書を変更する前に、KMIPクライアントからD@REキーストアをバックアップします。 
  • 正常にアップロードされ、KMIPを有効にするために使用された最後のKMIPクライアント証明書ファイルの最新のコピーを保持することをお勧めします。これは、必要になった場合です。 

シナリオ1:一度に1つの証明書タイプのみを変更します。これは、たとえば、有効期限の更新済み証明書である可能性があります。
変更はUnisphere Managerから行うことができます。Unisphereにログインし、右上の メニュー バーにある[Settings]歯車 アイコンに移動して、[ Management options]、[ Encryption]の順に選択します。

  1. アレイが元のKMIPサーバーに接続できる間にKMIPを無効にします。
    これにより、移行中に問題が発生した場合でも、KMIPクライアント/サーバー上のマスターキーが失われることはありません。
  2. UnityにすでにインポートされているCA証明書を変更する必要がない場合は、KMIPサーバーのみを変更します。新しいクライアントKMIP証明書をインポートします。CA証明書を変更する必要がある場合は、この証明書を変更し、Unisphereを使用してインポートします。両方でアップデートが必要な場合は、最初にCAを実行し、KMIPを再度有効にして成功することを確認します。KMIPクライアント証明書について、手順1〜3をもう一度繰り返します。 
  3. KMIPを有効にします。

シナリオ2:CA証明書またはKMIPクライアント証明書を別のベンダーに変更する。元の証明書と大きな違いがある場合は、次のことが必要です。

これにより、構成と証明書が保存されているUnity KMIPロックボックスがクリーンアップされ、必要な証明書を使用して最初からセットアップされます。 

これには、Dellサポートに連絡し、次のKB記事を参照する必要があります。Dell Unity:KMIPサーバーを有効にしようとすると証明書エラーが発生する

  1. 上記のステップ1のUnisphereを使用してKMIPを無効にします。
  2. KMIP構成を削除します。これは、上位レベルのルート シェルを必要とする上記のKBの内部セクションを使用します。
  3. 新しいKMIP構成を作成します。ベンダーの要件に基づいて、新しいCAおよびKMIPクライアント証明書を作成します。
  4. 新しいCAとクライアントKMIP証明書をアップロードします。
  5. KMIPを有効にします。

Additional Information

証明書の変更に関する追加情報:

  • 複数のCA証明書を持つことが可能で、一部は期限切れになっている可能性があります。新しい証明書がアップロードされ、それが既存のCA証明書のサブジェクト名と一致する場合、その証明書は置き換えられます。
  • CAとKMIPクライアント証明書の有効期限が近すぎて、CAまたはクライアントを更新して動作を確認する時間を与えないことがベスト プラクティスです。 
  • KMIPクライアント証明書は1つのみ存在できます。Unisphereの[Certificate Management]ボタンで、変更されたクライアント証明書のアップロードが成功すると、日付が更新されます。
  • 新しくアップロードされたクライアント証明書に問題がある場合、UnityはKMIPサーバーからD@REキーストア イグニッションキーを取得できない場合があります。これは、検証または有効化の試行が行われたときにKMIPエラーが発生する理由である可能性があります。 

KMIPコマンドライン情報:
Unityコマンド ラインを使用して、KMIPのステータスをアップロードまたは確認することができます。 

コマンド ラインからのKMIP証明書のアップロードは、ここでは示されていません。詳細については、 Unityセキュリティ構成ガイド を参照してください。

このサイトは、Dell Unity Info Hub 製品ドキュメントおよび情報です。このサイトでは、Unity 製品の公開ドキュメントのほとんどが提供されています。Dell Unityの情報ハブ

探す:Unityセキュリティ構成ガイド

これにより、ガイドのPDFへのリンクが開きます。表示するにはログインが必要です。 

以下は、役に立つ Unity サービスシェルの例です。

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

参考資料:
Dell Unity: 静止データ暗号化。
Dell Unity: 静止データ暗号化 - ホワイト ペーパー

詳細については、次の追加のナレッジベース記事を参照してください。
Dell Unity: 外部Microsoft CAを使用してクライアント証明書に署名している場合、KMIPサーバーを構成できない(ユーザー修正可能)

Dell Unity:互換性のないPKCS#12クライアント証明書を変換してKMIPで使用する方法

KMIPの構成については、ベンダーのドキュメントを参照してください。
一部のベンダーは、空のユーザー名とパスワードを必要とするクライアント証明書を使用しています。 

Affected Products

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid
Article Properties
Article Number: 000223263
Article Type: How To
Last Modified: 12 ديسمبر 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.