Dell Unity: KMIP 서버를 수정하는 방법(또는 다른 공급업체로 전환하는 방법)

Summary: KMIP(Key Management Interoperability Protocol) 서버를 수정하는 방법(또는 다른 공급업체로 전환).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

KMIP 구성에는 두 가지 인증서 유형이 필요합니다. CA(Certificate Authority) 및 KMIP 클라이언트 인증서. CA를 업데이트해야 하는지, KMIP 클라이언트 인증서 또는 둘 다 확인해야 하는지 확인합니다.

사전 구성 요소:

  • KMIP를 활성화 또는 비활성화하려면 KMIP 서버에 액세스할 수 있고 KMIP 서버가 실행 중이어야 합니다.
  • 최신 버전의 클라이언트 KMIP 인증서를 Unity에 업로드할 때 만료 시작 날짜 및 종료 날짜 외에 이전 클라이언트 인증서와 동일하지 않으면 문제가 발생할 위험이 항상 있습니다. 
  • 따라서 인증서를 업데이트할 때 예방 조치로 Unity에서 KMIP를 비활성화하는 것이 좋습니다. 문제가 있는 경우 인증서가 올바르지 않으면 KMIP가 활성화되지 않습니다.
  • 디스크 또는 SP(Service Process)를 교체할 때 또는 인증서를 변경하기 전에 KMIP 클라이언트에서 D@RE 키 저장소를 백업합니다. 
  • 마지막 KMIP 클라이언트 인증서 파일의 최신 복사본을 성공적으로 업로드하여 KMIP를 활성화하는 데 사용하는 것이 좋습니다. 이것은 필요한 경우입니다. 

시나리오 1: 한 번에 하나의 인증서 유형만 변경합니다. 예를 들어 만료 날짜에 대한 업데이트된 인증서일 수 있습니다. 
Unisphere Manager에서 변경할 수 있습니다. Unisphere에 로그인하고 오른쪽 상단 메뉴 표시줄의 설정 톱니바퀴 아이콘으로 이동하여 관리 옵션, 암호화를 차례로 선택합니다.

  1. 어레이가 여전히 원래 KMIP 서버에 연결할 수 있는 동안 KMIP를 비활성화합니다.
    이렇게 하면 전환 중에 문제가 발생할 경우 KMIP 클라이언트/서버에서 마스터 키가 손실되지 않습니다.
  2. Unity로 이미 가져온 CA 인증서를 변경할 필요가 없는 경우 KMIP 서버만 수정합니다. 새 클라이언트 KMIP 인증서를 가져옵니다. CA 인증서를 변경해야 하는 경우 이 인증서를 수정하고 Unisphere를 사용하여 가져오십시오. 둘 다 업데이트가 필요한 경우 먼저 CA를 수행하고 KMIP를 다시 활성화하여 성공했는지 확인합니다. KMIP 클라이언트 인증서에 대해 1-3단계를 다시 반복합니다. 
  3. KMIP를 활성화합니다.

시나리오 2: CA 인증서 또는 KMIP 클라이언트 인증서를 다른 벤더로 변경합니다. 원래 인증서와 현저한 차이가 있는 경우 다음이 필요합니다.

이렇게 하면 구성 및 인증서가 저장되고 필요한 인증서를 사용하여 처음부터 설정되는 Unity KMIP Lockbox가 정리됩니다. 

이 경우 Dell 지원 부서에 문의하고 다음 KB 문서를 참조해야 합니다. Dell Unity: KMIP 서버를 활성화하려고 할 때 인증서 오류 발생

  1. 위의 1단계에서 Unisphere를 사용하여 KMIP를 비활성화합니다.
  2. KMIP 구성을 삭제합니다. 여기서는 상위 수준의 루트 셸이 필요한 위 KB의 Internal 섹션을 사용합니다.
  3. 새 KMIP 구성을 생성합니다. 공급업체 요구 사항에 따라 새 CA 및 KMIP 클라이언트 인증서를 생성합니다.
  4. 새 CA 및 클라이언트 KMIP 인증서를 업로드합니다.
  5. KMIP를 활성화합니다.

Additional Information

인증서 변경에 대한 추가 정보:

  • 여러 CA 인증서가 있을 수 있으며 일부는 만료되었을 수 있습니다. 새 인증서가 업로드되고 기존 CA 인증서의 주체 이름과 일치하면 교체됩니다.
  • CA를 사용하지 않는 것이 가장 좋으며, KMIP 클라이언트 인증서가 서로 너무 가깝게 만료되어 CA 또는 클라이언트를 업데이트하고 작동을 확인할 시간을 주지 않습니다. 
  • KMIP 클라이언트 인증서는 하나만 존재할 수 있습니다. 수정된 클라이언트 인증서 업로드가 성공적으로 완료되면 Unisphere의 Certificate Management 버튼 아래에서 날짜가 업데이트됩니다.
  • 새로 업로드된 클라이언트 인증서에 문제가 있는 경우 Unity가 KMIP 서버에서 D@RE 키 저장소 점화 키를 가져오지 못할 수 있습니다. 이는 확인 또는 활성화를 시도할 때 KMIP 오류가 발생하는 이유일 수 있습니다. 

KMIP 명령줄 정보:
Unity 명령줄을 사용하여 KMIP의 상태를 업로드하거나 확인할 수 있습니다. 

명령줄에서 KMIP 인증서 업로드는 여기에 표시되지 않습니다. 자세한 내용은 Unity 보안 구성 가이드를 참조하십시오.

이 사이트는 Dell Unity 정보 허브 제품 문서 및 정보입니다. 이 사이트에서는 Unity 제품에 대한 대부분의 공개 문서를 제공합니다. Dell Unity 정보 허브

검색 대상: Unity 보안 구성 가이드

이렇게 하면 가이드의 PDF에 대한 링크가 열리며, 이 링크를 보려면 로그인해야 합니다. 

다음은 몇 가지 유용한 Unity 서비스 셸 예제입니다.

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

참조:
Dell Unity: 저장된 데이터 암호화.
Dell Unity: 저장된 데이터 암호화 - 백서

자세한 내용은 다음 추가 기술 자료 문서를 참조하십시오.
Dell Unity: 외부 Microsoft CA를 사용하여 클라이언트 인증서에 서명할 때 KMIP 서버를 구성할 수 없음(사용자 수정 가능)

Dell Unity: 호환되지 않는 PKCS#12 클라이언트 인증서를 KMIP와 함께 사용하도록 변환하는 방법

KMIP 구성은 공급업체 설명서를 참조하십시오.
일부 공급업체는 빈 사용자 이름과 암호가 필요한 클라이언트 인증서를 사용합니다. 

Affected Products

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid
Article Properties
Article Number: 000223263
Article Type: How To
Last Modified: 12 ديسمبر 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.