Dell Unity: KMIP-servers wijzigen (of overstappen naar een andere leverancier)

Er zijn twee certificaattypen vereist voor KMIP-configuraties: Certificaten van certificeringsinstantie (CA) en KMIP-clients. Controleer of de CA, het KMIP-clientcertificaat of beide moeten worden bijgewerkt.

Vereisten:

• De KMIP-servers moeten toegankelijk zijn en actief zijn om KMIP in of uit te schakelen.
• Bij het uploaden van een nieuwere versie van het KMIP-certificaat van de client naar Unity bestaat altijd het risico dat dit een probleem veroorzaakt als het niet identiek is aan het vorige clientcertificaat, afgezien van de vervaldatums van en tot-datums. 
• Dit is de reden dat het wordt aanbevolen om KMIP op Unity uit te schakelen als voorzorgsmaatregel bij het bijwerken van certificaten. Als er een probleem is, wordt KMIP niet ingeschakeld als de certificaten niet correct zijn.
• Maak een back-up van de D@RE keystore vanaf de KMIP-client wanneer een schijf of Service Process (SP) wordt vervangen of voordat u certificaatwijzigingen aanbrengt. 
• Het wordt aanbevolen om de laatste kopie van het laatste KMIP-clientcertificaatbestand te uploaden en te gebruiken om KMIP in te schakelen. Dit is in het geval dat het ooit nodig is. 

Scenario 1: Slechts één certificaattype tegelijk wijzigen. Dit kan bijvoorbeeld een bijgewerkt certificaat voor vervaldatums zijn. 
Wijzigingen kunnen worden aangebracht vanuit Unisphere Manager. Meld u aan bij Unisphere, ga naar het tandwielpictogram Instellingen in de menubalk rechtsboven, selecteer Beheeropties en selecteer vervolgens Versleuteling.

1. Schakel KMIP uit terwijl de array nog steeds verbinding kan maken met de oorspronkelijke KMIP-server.
   Dit zorgt ervoor dat de mastersleutel op de KMIP-client/server niet verloren gaat als er zich tijdens de overgang problemen voordoen.
2. Als er geen wijzigingen nodig zijn met de CA-certificaten die al zijn geïmporteerd in Unity, wijzigt u alleen de KMIP-servers. Importeer een nieuw KMIP-certificaat voor klanten. Als er in plaats daarvan wijzigingen nodig zijn voor het CA-certificaat, wijzigt u dit certificaat en importeert u het met Unisphere. Als beide een update nodig hebben, voert u eerst de CA uit en schakelt u KMIP opnieuw in om ervoor te zorgen dat het lukt. Herhaal stap 1-3 nogmaals voor het KMIP-clientcertificaat. 
3. Schakel KMIP in.

Scenario 2: Het CA-certificaat of KMIP-clientcertificaat wijzigen naar een andere leverancier. Als er een significant verschil bestaat met het oorspronkelijke certificaat, is het volgende vereist.

Hiermee wordt de Unity KMIP-lockbox opgeschoond waar de configuratie en certificaten zijn opgeslagen en vanaf het begin ingesteld met de vereiste certificaten. 

Hiervoor moet u contact opnemen met Dell Support en dit KB-artikel raadplegen: Dell Unity: Een certificaatfout ontvangen bij het inschakelen van de KMIP-server

1. Schakel KMIP uit met Unisphere vanaf stap 1 hierboven.
2. Verwijder de KMIP-configuratie. Dit maakt gebruik van het interne gedeelte van de KB hierboven, waarvoor een root-shell op een hoger niveau nodig is.
3. Maak de nieuwe KMIP-configuratie. Maak een nieuw CA- en KMIP-clientcertificaat op basis van de vereisten van de leverancier.
4. Upload de nieuwe CA en de KMIP-certificaten van de client.
5. Schakel KMIP in.

Aanvullende informatie voor certificaatwijzigingen:

• Het is mogelijk om meerdere CA-certificaten te hebben, en sommige zijn mogelijk verlopen. Als een nieuw certificaat wordt geüpload en het overeenkomt met de onderwerpnaam van een bestaand CA-certificaat, wordt het vervangen.
• Het is een BEST PRACTICE om GEEN CA en KMIP-clientcertificaten te dicht bij elkaar te laten verlopen om tijd te geven om de CA of de client bij te werken en te bevestigen dat ze werken. 
• Er mag slechts één KMIP-clientcertificaat bestaan. In Unisphere onder de knop Certificaatbeheer worden de datums bijgewerkt zodra het uploaden van het gewijzigde clientcertificaat is geslaagd.
• Als er problemen zijn met het nieuwe geüploade clientcertificaat, kan Unity de D@RE keystore-ontstekingssleutel mogelijk niet ophalen van de KMIP-server. Dit kan een reden zijn waarom KMIP-fouten optreden wanneer er een poging wordt gedaan om te verifiëren of in te schakelen. 

KMIP Opdrachtregelinfo:
Het is mogelijk om de Unity-opdrachtregel te gebruiken om KMIP te uploaden of de status ervan te controleren. 

Het uploaden van KMIP-certificaten vanaf de opdrachtregel wordt hier niet weergegeven. Zie de Unity Security Configuration Guide voor meer informatie.

Deze site is de Dell Unity Info Hub Productdocumenten en -informatie: De site biedt het grootste deel van de openbare documentatie voor de Unity-producten: Dell Unity infohub

Zoeken: Configuratiehandleiding Unity-beveiliging

Dit opent een link naar de PDF van de gids en vereist een login om deze te bekijken. 

Hieronder vindt u enkele nuttige voorbeelden van Unity-serviceshells:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Referenties:
Dell Unity: Versleuteling van data-at-rest.
Dell Unity: Versleuteling van data-at-rest - Whitepaper

Raadpleeg deze aanvullende knowledge base-artikelen voor meer informatie:
Dell Unity: Kan KMIP-server niet configureren bij gebruik van externe Microsoft CA voor het ondertekenen van clientcertificaten (op te lossen door gebruiker)

Dell Unity: Een incompatibel PKCS#12 clientcertificaat converteren voor gebruik met KMIP

Raadpleeg de documentatie van de leverancier voor het configureren van KMIP.
Sommige leveranciers gebruiken clientcertificaten waarvoor een lege gebruikersnaam en wachtwoord nodig zijn.