Dell Unity. Изменение серверов KMIP (или переход к другому поставщику)

Существует два типа сертификатов, необходимых для конфигураций KMIP: Сертификаты источника сертификатов (CA) и клиента KMIP. Проверьте, необходимо ли обновить источник сертификатов, сертификат клиента KMIP или и то, и другое.

Предварительные условия

• Для включения или отключения протокола KMIP серверы KMIP должны быть доступны и должны быть запущены.
• При загрузке более новой версии клиентского сертификата KMIP в Unity всегда существует риск возникновения проблемы, если он не идентичен предыдущему сертификату клиента, кроме дат истечения срока действия ОТ и ДО. 
• Именно по этой причине рекомендуется отключить KMIP в Unity в качестве меры предосторожности при обновлении сертификатов. При наличии проблемы протокол KMIP не включается, если сертификаты неверны.
• Резервное копирование хранилища ключей D@RE из клиента KMIP при замене диска или сервисного процесса (SP) или перед внесением изменений в сертификат. 
• Рекомендуется сохранять последнюю копию последнего файла сертификата клиента KMIP, успешно загруженного и используемого для включения KMIP. Это в том случае, если он когда-нибудь понадобится. 

Сценарий 1. Изменение только одного типа сертификата за раз. В качестве примера это может использоваться обновленный сертификат сроков действия. 
Изменения можно внести с помощью Unisphere Manager. Войдите в Unisphere, перейдите к значку шестеренки Настройки в правом верхнем углу строки меню, выберите Параметры управления, затем выберите Шифрование.

1. Отключите KMIP, пока дисковый массив продолжает подключаться к первоначальному серверу KMIP.
   Это гарантирует отсутствие потери главного ключа на клиенте/сервере KMIP в случае возникновения каких-либо проблем во время перехода.
2. Если не требуется вносить изменения в сертификаты источника сертификатов, которые уже импортированы в систему Unity, измените только серверы KMIP. Импортируйте новый сертификат KMIP клиента. Если вместо этого требуется внести изменения в сертификат центра сертификации, измените этот сертификат и импортируйте его с помощью Unisphere. Если обеим сторонам требуется обновление, сначала выполните ИС, а затем снова включите KMIP, чтобы убедиться в успешном выполнении операции. Повторите шаги 1–3 еще раз для сертификата клиента KMIP. 
3. Включите протокол KMIP.

Сценарий 2. Изменение сертификата источника сертификатов или сертификата клиента KMIP на другого поставщика. При наличии существенных отличий от исходного сертификата требуется следующее.

Это приведет к очистке защищенного хранилища Unity KMIP, в котором хранятся конфигурация и сертификаты, и при этом с самого начала будут настроены необходимые сертификаты. 

Для этого необходимо обратиться в службу поддержки Dell и указать номер статьи базы знаний: Dell Unity. Получение сертификата Ошибка при попытке включения сервера KMIP

1. Отключите протокол KMIP с помощью Unisphere, как описано на шаге 1 выше.
2. Удалите конфигурацию KMIP. Для этого используется раздел «Внутренний» приведенной выше статьи базы знаний, для которого требуется корневая оболочка более высокого уровня.
3. Создайте новую конфигурацию KMIP. Создание нового сертификата клиента CA и KMIP на основе требований поставщиков.
4. Загрузите новый сертификат KMIP источника сертификатов и сертификат клиента KMIP.
5. Включите протокол KMIP.

Дополнительная информация об изменениях сертификатов:

• Сертификатов ЦС может быть несколько, и срок действия некоторых из них может быть истек. Если загружен новый сертификат, совпадающий с именем субъекта существующего сертификата источника сертификатов, он заменяется.
• РЕКОМЕНДУЕТСЯ НЕ РАСПОЛАГАТЬ ЦС, так как срок действия клиентских сертификатов KMIP истекает слишком близко друг к другу, чтобы дать время обновить ЦС или клиента и убедиться, что они работают. 
• Может существовать только один сертификат клиента KMIP. В Unisphere под кнопкой Управление сертификатами даты обновляются после успешной загрузки измененного сертификата клиента.
• При возникновении проблем с новым загруженным сертификатом клиента Unity может не получить D@RE ключ зажигания хранилища ключей с сервера KMIP. Это может быть причиной ошибок KMIP при попытке проверки или включения. 

Информация командной строки KMIP:
Для загрузки или проверки состояния KMIP можно использовать командную строку Unity . 

Загрузка сертификатов KMIP из командной строки здесь не отображается. Дополнительные сведения см. в Руководстве по настройке безопасности Unity .

Этот сайт является информационным центром Dell Unity Документы и информация о продуктах: На сайте представлена большая часть общедоступной документации по продуктам Unity: Информационный центр Dell Unity

Искать: Unity — Руководство по настройке безопасности

Откроется ссылка на PDF-файл руководства, для просмотра которого необходимо войти в систему. 

Ниже приведены некоторые полезные примеры оболочки службы Unity.

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Ссылки:
Dell Unity: Шифрование данных в состоянии покоя.
Dell Unity. Шифрование данных в состоянии покоя — технический документ

Дополнительные сведения см. в следующих статьях базы знаний:
Dell Unity: Не удается настроить сервер KMIP при использовании внешнего источника сертификатов Microsoft для подписи сертификата клиента (исправляется пользователем)

Dell Unity. Преобразование несовместимого сертификата клиента PKCS#12 для использования с KMIP

Сведения о настройке протокола KMIP см. в документации поставщика.
Некоторые поставщики используют клиентские сертификаты, для которых требуется пустое имя пользователя и пароль.