Dell Unity: Hvordan endre KMIP servere (eller bytte til en annen leverandør)

Summary: Slik endrer du KMIP-servere (Key Management Interoperability Protocol) (ELLER bytter til en annen leverandør).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Det kreves to sertifikattyper for KMIP-konfigurasjoner: Sertifikater for sertifiseringsinstans (CA) og KMIP-klient. Bekreft om sertifiseringsinstansen må oppdateres, KMIP-klientsertifikat eller begge deler.

Forhåndskrav:

  • KMIP-serverne må være tilgjengelige og kjørende for at KMIP skal aktiveres eller deaktiveres.
  • Når du laster opp en nyere versjon av klientens KMIP-sertifikat til Unity, er det alltid en risiko for at det kan introdusere et problem hvis det ikke er identisk med det forrige klientsertifikatet annet enn utløpsdatoene FRA og TIL. 
  • Dette er grunnen til at det anbefales å deaktivere KMIP på Unity som en forholdsregel når du oppdaterer sertifikater. Hvis det oppstår et problem, er ikke KMIP aktivert hvis sertifikatene ikke er riktige.
  • Sikkerhetskopier D@RE-nøkkellageret fra KMIP-klienten når en disk eller serviceprosess (SP) byttes ut, eller før du gjør sertifikatendringer. 
  • Det anbefales å beholde den nyeste kopien av den siste KMIP-klientsertifikatfilen lastet opp og brukt til å aktivere KMIP. Dette er i tilfelle at det noen gang er nødvendig. 

Scenario 1: Endre bare én sertifikattype om gangen. Dette kan være et oppdatert sertifikat for utløpsdatoer som et eksempel. 
Endringer kan gjøres fra Unisphere Manager. Logg på Unisphere, gå til tannhjulikonet øverst til høyre, velg Administrasjonsalternativer, og velg deretter Kryptering.

  1. Deaktiver KMIP mens arrayet fortsatt kan koble til den opprinnelige KMIP serveren.
    Dette sikrer ikke tap av hovednøkkelen på KMIP klienten / serveren skulle det oppstå problemer under overgangen.
  2. Hvis det ikke kreves endringer med CA-sertifikatene som allerede er importert til Unity, må du bare endre KMIP-serverne. Importer et nytt klient KMIP sertifikat. Hvis det er nødvendig med endringer for CA-sertifikatet i stedet, endrer du sertifikatet og importerer det ved hjelp av Unisphere. Hvis begge trenger en oppdatering, gjør du CA først og aktiver KMIP igjen for å sikre at den lykkes. Gjenta trinn 1-3 igjen for KMIP klientsertifikatet. 
  3. Aktiver KMIP.

Scenario 2: Endre CA-sertifikatet eller KMIP-klientsertifikatet til en annen leverandør. Hvis det finnes en betydelig forskjell fra det opprinnelige sertifikatet, kreves følgende.

Dette renser ut Unity KMIP-låseboksen der konfigurasjonen og sertifikatene lagres og konfigureres fra begynnelsen med de nødvendige sertifikatene. 

Dette krever at du kontakter Dells kundestøtte og viser til denne KB-artikkelen: Dell Unity: Motta en sertifikatfeil når du prøver å aktivere KMIP server

  1. Deaktiver KMIP ved hjelp av Unisphere fra trinn 1 ovenfor.
  2. Slett KMIP-konfigurasjonen. Dette bruker den interne delen av KB ovenfor, som trenger et rotskall på høyere nivå.
  3. Opprett den nye KMIP-konfigurasjonen. Opprett et nytt CA- og KMIP-klientsertifikat basert på leverandørens krav.
  4. Last opp den nye sertifiseringsinstansen og klient-KMIP-sertifikatene.
  5. Aktiver KMIP.

Additional Information

Tilleggsinformasjon for sertifikatendringer:

  • Det er mulig å ha flere CA-sertifikater, og noen kan være utløpt. Hvis et nytt sertifikat lastes opp og det samsvarer med emnenavnet til et eksisterende CA-sertifikat, erstattes det.
  • Det er en BESTE PRAKSIS å IKKE ha CA, og KMIP klientsertifikater utløper for nær hverandre til å gi tid til å oppdatere CA eller klienten og bekrefte at de fungerer. 
  • Bare ett KMIP klientsertifikat kan eksistere. I Unisphere under Certificate Management-knappen oppdateres datoene når den endrede klientsertifikatopplastingen er vellykket.
  • Hvis det er problemer med det nye opplastede klientsertifikatet, kan det hende at Unity ikke kan hente tenningsnøkkelen for D@RE nøkkellager fra KMIP-serveren. Dette kan være en grunn til at KMIP feil oppstår når et forsøk på å verifisere eller aktivere er gjort. 

KMIP Command-line info:
Det er mulig å bruke kommandolinjen Unity til å laste opp eller kontrollere statusen til KMIP. 

Opplasting av KMIP-sertifikater fra kommandolinjen vises ikke her. Se konfigurasjonsveiledningen for Unity Security hvis du vil ha mer informasjon.

Dette nettstedet er produktdokumenter og informasjon for Dell Unity Info Hub : Nettstedet inneholder mesteparten av den offentlige dokumentasjonen for Unity-produktene: Dell Unity Info Hub

Søk etter: Konfigurasjonsveiledning for Unity Security

Dette åpner en kobling til PDF-filen av TV-guiden, og den krever pålogging for å kunne vises. 

Nedenfor finner du nyttige eksempler på nyttige eksempler på Unity-serviceskall:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Referanser:
Dell Unity: Kryptering av inaktive data.
Dell Unity: Kryptering av inaktive data – rapport

Du finner mer informasjon
i disse kunnskapsartiklene: Dell Unity: Kan ikke konfigurere KMIP-serveren når du bruker en ekstern Microsoft CA til å signere klientsertifikatet (kan korrigeres av brukeren)

Dell Unity: Hvordan konvertere et inkompatibelt PKCS#12-klientsertifikat for bruk med KMIP

Se leverandørdokumentasjonen for konfigurering av KMIP.
Noen leverandører bruker klientsertifikater som trenger et tomt brukernavn og passord. 

Affected Products

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid
Article Properties
Article Number: 000223263
Article Type: How To
Last Modified: 12 ديسمبر 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.