Dell Unity: Como modificar servidores KMIP (ou mudar para outro fornecedor)

Há dois tipos de certificado necessários para configurações de KMIP: Certificados de autoridade de certificação (CA) e cliente KMIP. Confirme se a CA deve ser atualizada, o certificado do client KMIP ou ambos.

Pré-requisitos:

• Os servidores KMIP devem estar acessíveis e em execução para que o KMIP seja habilitado ou desabilitado.
• Ao fazer upload de uma versão mais recente do certificado KMIP do client para o Unity, há sempre o risco de que ele possa apresentar um problema se ele não for idêntico ao certificado do client anterior além das datas de expiração DE e ATÉ. 
• Por esse motivo, é recomendável desativar o KMIP no Unity como precaução ao atualizar certificados. Se houver um problema, o KMIP não será habilitado se os certificados não estiverem corretos.
• Faça backup do keystore D@RE do client KMIP quando um disco ou processo de serviço (SP) for substituído ou antes de fazer alterações no certificado. 
• É recomendável manter a cópia mais recente do último arquivo de certificado de client KMIP carregado com sucesso e usado para habilitar o KMIP. Isso é no caso de ser sempre necessário. 

Cenário 1: Alterar apenas um tipo de certificado por vez. Esse poderia ser um certificado atualizado para datas de expiração, por exemplo. 
As alterações podem ser feitas no Unisphere Manager. Faça log-in no Unisphere, acesse o ícone de engrenagem Configurações na barra de menu superior direita, selecione Opções de gerenciamento e, em seguida, selecione Criptografia.

1. Desative o KMIP enquanto o array ainda puder se conectar ao servidor KMIP original.
   Isso garante que não haverá perda da chave mestra no client/servidor KMIP caso ocorram problemas durante a transição.
2. Se nenhuma alteração for necessária nos certificados da CA já importados para o Unity, modifique apenas os servidores KMIP. Importe um novo certificado KMIP do client. Se forem necessárias alterações no certificado CA, modifique-o e importe-o usando o Unisphere. Se ambos precisarem de uma atualização, faça a CA primeiro e ative o KMIP novamente para garantir que ela seja bem-sucedida. Repita as etapas 1 a 3 novamente para o certificado do client KMIP. 
3. Ative o KMIP.

Cenário 2: Alterar o certificado CA ou o certificado do client KMIP para outro fornecedor. Se houver uma diferença significativa em relação ao certificado original, o seguinte será necessário.

Isso limpa a lockbox do KMIP do Unity, onde a configuração e os certificados são armazenados e configurados desde o início com os certificados necessários. 

Para isso, é necessário entrar em contato com o Suporte Dell e consultar este artigo da base de conhecimento: Dell Unity: Recebendo um erro de certificado ao tentar habilitar o servidor KMIP

1. Desative o KMIP usando o Unisphere na etapa 1 acima.
2. Exclua a configuração do KMIP. Isso usa a seção Internal da KB acima, que precisa de um shell raiz de nível superior.
3. Crie a nova configuração do KMIP. Crie um novo certificado de client CA e KMIP com base nos requisitos dos fornecedores.
4. Carregue a nova CA e os certificados KMIP do client.
5. Ative o KMIP.

Informações adicionais para alterações de certificado:

• É possível haver vários certificados de CA, e alguns podem estar vencidos. Se um novo certificado for carregado e corresponder ao nome da entidade de um certificado CA existente, ele será substituído.
• É uma PRÁTICA RECOMENDADA NÃO ter CA, e os certificados de client KMIP expiram muito próximos um do outro para dar tempo de atualizar a CA ou o client e confirmar se funcionam. 
• Pode existir apenas um certificado de client KMIP. No Unisphere, no botão Gerenciamento de certificados, as datas são atualizadas assim que o carregamento do certificado do client modificado é bem-sucedido.
• Se houver problemas com o novo certificado de client carregado, o Unity pode não conseguir obter a chave de ignição do keystore D@RE do servidor KMIP. Esse pode ser um motivo pelo qual erros de KMIP acontecem quando uma tentativa de verificar ou ativar é realizada. 

Informações de linha de comando do KMIP:
É possível usar a linha de comando do Unity para carregar ou verificar o status do KMIP. 

O carregamento de certificados KMIP da linha de comando não é mostrado aqui. Consulte o Guia de configuração de segurança do Unity para obter mais informações.

Este site é o hub de informações do Dell Unity Documentos e informações do produto: O site fornece a maior parte da documentação pública dos produtos Unity: Hub de informações do Dell Unity

Procurar: Guia de configuração de segurança do Unity

Isso abre um link para o PDF do guia, e é necessário fazer login para visualizá-lo. 

Abaixo estão alguns exemplos úteis do shell de serviço do Unity:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Referências:
Dell Unity: Criptografia de dados em repouso.
Dell Unity: Criptografia de dados em repouso - White paper

Consulte estes artigos da base de conhecimento adicionais para obter mais informações:
Dell Unity: Não é possível configurar o servidor KMIP ao usar a CA externa da Microsoft para assinar o certificado do cliente (corrigível pelo usuário)

Dell Unity: Como converter um certificado de client PKCS#12 incompatível para uso com KMIP

Consulte a documentação do fornecedor para configurar o KMIP.
Alguns fornecedores usam certificados de client que precisam de um nome de usuário e senha vazios.