Dell Unity：如何修改 KMIP 伺服器 （或切換至其他廠商）

KMIP 組態需要兩種憑證類型：認證機構 （CA） 和 KMIP 用戶端憑證。確認 CA 和/或 KMIP 用戶端憑證是否必須更新。

先決條件：

• KMIP 伺服器必須可供存取並在執行中，才能啟用或停用 KMIP。
• 將較新版本的用戶端 KMIP 憑證上傳至 Unity 時，如果憑證除了到期日結束日期和結束日期外，與先前的用戶端憑證不完全相同，則始終存在問題可能導致問題的風險。 
• 因此建議在更新憑證時，在 Unity 上停用 KMIP，以作為預防措施。如果出現問題，如果憑證不正確，則不會啟用 KMIP。
• 在更換磁碟或服務程序 （SP） 時或變更憑證之前，從 KMIP 用戶端備份 D@RE 金鑰存放區。 
• 建議您保留已成功上傳的最後一個 KMIP 用戶端憑證檔案的最新複本，並用於啟用 KMIP。這是在需要的情況下。 

案例 1：一次僅變更一種憑證類型。例如，這可能是到期日期的更新憑證。
可以從 Unisphere Manager 進行變更。登入 Unisphere，前往右上角功能表列上的 設定 齒輪 圖示，選取 管理選項，然後選取 加密。

1. 當陣列仍可連線至原始 KMIP 伺服器時，請停用 KMIP。
   這可確保在轉換期間發生任何問題時，KMIP 用戶端/伺服器上的主要金鑰不會遺失。
2. 如果不需要對已匯入 Unity 的 CA 憑證進行任何變更，則僅修改 KMIP 伺服器。匯入新用戶端 KMIP 憑證。如果需要改為變更 CA 憑證，請修改此憑證並使用 Unisphere 匯入。如果兩者都需要更新，請先執行 CA，然後再次啟用 KMIP 以確保其成功。再次對 KMIP 用戶端憑證重複步驟 1-3。 
3. 啟用 KMIP。

案例 2：將 CA 憑證或 KMIP 用戶端憑證變更為不同的廠商。如果與原始憑證存在顯著差異，則需要執行下列步驟。

這會清除儲存組態和憑證的 Unity KMIP 加密箱，並可使用所需的憑證從頭開始設定。 

這需要聯絡 Dell 支援並參考本 KB 文章：Dell Unity：嘗試啟用 KMIP 伺服器時收到憑證錯誤

1. 使用上述步驟 1 的 Unisphere 停用 KMIP。
2. 刪除 KMIP 組態。這會使用上方 KB 的內部區段，需要更高層級的根 shell。
3. 建立新的 KMIP 組態。根據廠商需求建立新的 CA 和 KMIP 用戶端憑證。
4. 上傳新 CA 和用戶端 KMIP 憑證。
5. 啟用 KMIP。

憑證變更的其他資訊：

• 可能會有多個 CA 憑證，有些憑證可能會過期。如果上傳了新證書，並且它與現有 CA 證書的使用者名稱匹配，則會替換該證書。
• 最佳實務是沒有 CA，且 KMIP 用戶端憑證彼此距離太近而無法有時間更新 CA 或用戶端並確認其可正常運作。 
• 只能存在一個 KMIP 用戶端憑證。在 Unisphere 的「憑證管理」按鈕下，日期會在修改的用戶端憑證上傳成功後更新。
• 如果新上傳的用戶端憑證發生問題，Unity 可能無法從 KMIP 伺服器取得 D@RE 金鑰存放區點火金鑰。這可能是嘗試驗證或啟用時發生 KMIP 錯誤的原因之一。 

KMIP 命令列資訊：
您可以使用 Unity 命令列 上傳或檢查 KMIP 的狀態。 

此處未顯示從命令列上傳 KMIP 憑證。如需詳細資訊，請參閱 Unity 安全性組態指南 。

此網站是 Dell Unity 資訊中心 產品文件和資訊：該網站提供了 Unity 產品的大部分公共文件：Dell Unity 資訊中心

䦍：Unity 安全性組態指南

這將打開指向指南 PDF 的連結，需要登錄才能查看。 

以下是一些實用的 Unity 服務殼層範例：

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

參考資料：
Dell Unity：待用資料加密。
Dell Unity：待用資料加密 - 白皮書

如需詳細資訊，請參閱這些額外的知識文章：
Dell Unity：使用外部 Microsoft CA 簽署用戶端憑證時，無法設定 KMIP 伺服器 （使用者可修正）

Dell Unity：如何轉換不相容的 PKCS#12 用戶端憑證以搭配 KMIP 使用

請參閱廠商說明文件以瞭解如何設定 KMIP。
有些廠商使用的用戶端憑證需要空白的使用者名稱和密碼。