Dell Unity: Jak zmodyfikować serwery KMIP (lub przełączyć się na innego dostawcę)

Dla konfiguracji KMIP wymagane są dwa typy certyfikatów: Certyfikaty instytucji certyfikujących (CA) i klienta KMIP. Sprawdź, czy należy zaktualizować urząd certyfikacji, certyfikat klienta KMIP, czy oba te elementy.

Warunki wstępne:

• Aby można było włączyć lub wyłączyć protokół KMIP, serwery KMIP muszą być dostępne i uruchomione.
• Podczas przekazywania nowszej wersji certyfikatu KMIP klienta do aparatu Unity zawsze istnieje ryzyko, że może on wprowadzić problem, jeśli nie jest identyczny z poprzednim certyfikatem klienta, z wyjątkiem dat wygaśnięcia OD i DO. 
• Z tego powodu zaleca się wyłączenie protokołu KMIP w Unity jako środka ostrożności podczas aktualizowania certyfikatów. W przypadku wystąpienia problemu protokół KMIP nie jest włączony, jeśli certyfikaty nie są poprawne.
• Tworzenie kopii zapasowej magazynu kluczy D@RE z poziomu klienta KMIP po wymianie dysku lub procesu serwisowego (SP) lub przed wprowadzeniem zmian w certyfikatach. 
• Zaleca się przechowywanie najnowszej kopii ostatniego pliku certyfikatu klienta KMIP, który został pomyślnie przesłany i użyty do włączenia protokołu KMIP. Dzieje się tak w przypadku, gdy jest to kiedykolwiek potrzebne. 

Scenariusz 1: Zmiana tylko jednego typu certyfikatu na raz. Może to być na przykład zaktualizowany certyfikat z datami wygaśnięcia. 
Zmiany można wprowadzić z poziomu Unisphere Manager. Zaloguj się do Unisphere, przejdź do ikony koła zębatego ustawień w prawym górnym rogu menu, wybierz pozycję Opcje zarządzania, a następnie wybierz opcję Szyfrowanie.

1. Wyłącz protokół KMIP, gdy macierz może połączyć się z oryginalnym serwerem KMIP.
   Gwarantuje to brak utraty klucza głównego klienta/serwera KMIP w przypadku wystąpienia jakichkolwiek problemów podczas przejścia.
2. Jeśli nie są wymagane żadne zmiany w certyfikatach urzędu certyfikacji, które zostały już zaimportowane do aparatu Unity, zmodyfikuj tylko serwery KMIP. Zaimportuj nowy certyfikat KMIP klienta. Jeśli zamiast tego potrzebne są zmiany w certyfikacie urzędu certyfikacji, zmodyfikuj ten certyfikat i zaimportuj go za pomocą Unisphere. Jeśli obie wymagają aktualizacji, najpierw należy wykonać CA i ponownie włączyć KMIP, aby upewnić się, że proces zakończy się powodzeniem. Powtórz kroki 1–3 ponownie dla certyfikatu klienta KMIP. 
3. Włącz KMIP.

Scenariusz 2: Zmiana certyfikatu CA lub certyfikatu klienta KMIP na inny dostawca. Jeśli istnieje znacząca różnica w stosunku do oryginalnego certyfikatu, wymagane są następujące elementy.

Spowoduje to wyczyszczenie skrytki KMIP Unity, w której przechowywana jest konfiguracja i certyfikaty, oraz konfiguracja od początku z wymaganymi certyfikatami. 

Wymaga to skontaktowania się z działem pomocy technicznej firmy Dell i zapoznania się z tym artykułem bazy wiedzy: Dell Unity: Otrzymywanie komunikatu o błędzie certyfikatu podczas próby włączenia serwera KMIP

1. Wyłącz KMIP za pomocą Unisphere, zaczynając od kroku 1 powyżej.
2. Usuń konfigurację KMIP. Używa to sekcji wewnętrznej bazy wiedzy powyżej, która wymaga powłoki głównej wyższego poziomu.
3. Utwórz nową konfigurację KMIP. Utwórz nowy certyfikat CA i KMIP klienta na podstawie wymagań dostawców.
4. Prześlij nowy urząd certyfikacji i certyfikaty KMIP klienta.
5. Włącz KMIP.

Dodatkowe informacje dotyczące zmian certyfikatów:

• Możliwe jest posiadanie wielu certyfikatów CA, a niektóre z nich mogą być już wygasłe. Jeśli przesłano nowy certyfikat, który odpowiada nazwie podmiotu istniejącego certyfikatu urzędu certyfikacji, zostanie on zastąpiony.
• NAJLEPSZĄ PRAKTYKĄ jest NIEPOSIADANIE urzędu certyfikacji i certyfikatów klienta KMIP wygasają zbyt blisko siebie, aby dać czas na aktualizację urzędu certyfikacji lub klienta i potwierdzenie, że działają. 
• Może istnieć tylko jeden certyfikat klienta KMIP. W Unisphere pod przyciskiem Certificate Management daty są aktualizowane po pomyślnym przesłaniu zmodyfikowanego certyfikatu klienta.
• W przypadku problemów z nowo przesłanym certyfikatem klienta urządzenie Unity może nie być w stanie pobrać klucza zapłonu magazynu kluczy D@RE z serwera KMIP. Może to być przyczyną błędów KMIP podczas próby weryfikacji lub włączenia. 

Informacje wiersza poleceń KMIP:
Do przesłania lub sprawdzenia stanu KMIP można użyć wiersza polecenia Unity . 

Przesyłanie certyfikatów KMIP z wiersza polecenia nie jest tutaj pokazane. Więcej informacji można znaleźć w Podręczniku konfiguracji zabezpieczeń Unity .

Ta witryna to Centrum informacji Dell Unity Dokumenty i informacje o produktach: Witryna zawiera większość publicznej dokumentacji produktów Unity: Centrum informacji Dell Unity

Szukać: Podręcznik konfiguracji zabezpieczeń Unity

Spowoduje to otwarcie łącza do pliku PDF przewodnika, który wymaga zalogowania się, aby go wyświetlić. 

Poniżej znajduje się kilka przydatnych przykładów powłoki usługi Unity:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Przypisy:
Dell Unity: Szyfrowanie danych w spoczynku.
Dell Unity: Szyfrowanie danych w spoczynku — opracowanie

Więcej informacji można znaleźć w tych dodatkowych artykułach bazy wiedzy:
Dell Unity: Nie można skonfigurować serwera KMIP podczas podpisywania certyfikatu klienta za pomocą zewnętrznego urzędu certyfikacji firmy Microsoft (możliwość naprawienia przez użytkownika)

Dell Unity: Jak przekonwertować niezgodny certyfikat klienta PKCS#12 do użytku z KMIP

Informacje na temat konfigurowania protokołu KMIP można znaleźć w dokumentacji dostawcy.
Niektórzy dostawcy używają certyfikatów klientów, które wymagają pustej nazwy użytkownika i hasła.