Dell Unity: Як модифікувати сервери KMIP (або перемикатися на іншого постачальника)

Summary: Як модифікувати сервери Key Management Interoperability Protocol (KMIP) (АБО переключитися на іншого виробника).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Для конфігурацій KMIP потрібні два типи сертифікатів: Сертифікати Центру Сертифікації (CA) та Клієнту KMIP. Перевірте, чи потрібно оновлювати CA, сертифікат клієнта KMIP чи обидва.

Передумови:

  • Сервери KMIP повинні бути доступними та працюючими, щоб KMIP був увімкнений або вимкнений.
  • При завантаженні новішої версії клієнтського KMIP сертифіката до Unity завжди існує ризик виникнення проблеми, якщо він не ідентичний попередньому клієнтському сертифікату, окрім дат закінчення FROM і TO. 
  • Саме тому рекомендується вимикати KMIP на Unity як запобіжний захід при оновленні сертифікатів. Якщо виникає проблема, KMIP не вмикається, якщо сертифікати неправильні.
  • Резервне копіювання D@RE ключів із клієнта KMIP при заміні диска або сервісного процесу (SP) або до внесення змін у сертифікат. 
  • Рекомендується зберігати останню копію останнього клієнтського сертифіката KMIP успішно завантаженою та використаною для активації KMIP. Це потрібно на випадок, якщо це коли-небудь знадобиться. 

Сценарій 1: Зміна лише одного типу сертифіката одночасно. Наприклад, це може бути оновлений сертифікат з датами закінчення. 
Зміни можна робити з Unisphere Manager. Увійдіть в Unisphere, перейдіть до іконки Налаштування Шестерні у верхньому правому меню, виберіть Параметри Управління, потім виберіть Шифрування.

  1. Вимкніть KMIP, поки масив все ще може підключатися до оригінального сервера KMIP.
    Це гарантує відсутність втрати головного ключа на клієнті/сервері KMIP у разі виникнення проблем під час переходу.
  2. Якщо зміни не потрібні для сертифікатів CA, які вже імпортовані в Unity, тоді модифікуйте лише сервери KMIP. Імпортуйте новий клієнтський сертифікат KMIP. Якщо для сертифіката CA потрібні зміни, модифікуйте цей сертифікат і імпортуйте його за допомогою Unisphere. Якщо обидва потрібне оновлення, спочатку зробіть CA і знову увімкніть KMIP, щоб переконатися, що все буде успішно. Повторіть кроки 1-3 для сертифіката клієнта KMIP. 
  3. Увімкніть KMIP.

Сценарій 2: Зміна сертифіката CA або клієнтського сертифіката KMIP на іншого постачальника. Якщо існує суттєва відмінність від оригінального сертифіката, потрібне наступне.

Це очищає скриньку Unity KMIP, де зберігаються конфігурація та сертифікати та налаштовуються з самого початку з необхідними сертифікатами. 

Для цього потрібно звернутися до служби підтримки Dell і посилатися на цю статтю в базі знань: Dell Unity: Отримання помилки сертифіката при спробі увімкнути сервер KMIP

  1. Вимкніть KMIP за допомогою Unisphere з першого кроку вище.
  2. Видаліть конфігурацію KMIP. Це використовує внутрішню секцію базової бази, яка має вищий рівень кореневої оболонки.
  3. Створіть нову конфігурацію KMIP. Створіть новий сертифікат клієнта CA та KMIP на основі вимог постачальників.
  4. Завантажте нові сертифікати CA та клієнтського KMIP.
  5. Увімкніть KMIP.

Additional Information

Додаткова інформація щодо змін у сертифікатах:

  • Можливо мати кілька сертифікатів CA, і деякі з них можуть бути прострочені. Якщо завантажується новий сертифікат і він відповідає предметній назві існуючого сертифіката CA, його замінюють.
  • Найкраща практика — не мати CA, а сертифікати клієнтів KMIP закінчуються занадто близько один до одного, щоб дати час оновити CA або клієнта і підтвердити, що вони працюють. 
  • Існує лише один клієнтський сертифікат KMIP. В Unisphere під кнопкою Управління сертифікатами дати оновлюються після успішного завантаження модифікованого клієнтського сертифіката.
  • Якщо виникнуть проблеми з новим завантаженим клієнтським сертифікатом, Unity може не змогти отримати ключ запалювання D@RE сховища ключів із сервера KMIP. Це може бути причиною виникнення помилок KMIP при спробі перевірки або увімкнути. 

Інформація про командний рядок KMIP:
Можна використовувати командний рядок Unity для завантаження або перевірки статусу KMIP. 

Завантаження сертифікатів KMIP з командного рядка тут не показано. Дивіться Посібник з конфігурації безпеки Unity для додаткової інформації.

Цей сайт містить документи та інформацію про продукт Dell Unity Info Hub : Сайт надає більшість публічної документації для продуктів Unity: Dell Unity Info Hub

Пошук: Посібник з налаштування безпеки Unity

Це відкриває посилання на PDF Посібника, і для перегляду потрібен увійти в систему. 

Нижче наведено корисні приклади сервісної оболонки Unity:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Джерела:
Dell Unity: Шифрування даних у стані спокою.
Dell Unity: Шифрування даних у стані спокою — Біла книга

Ознайомтеся з додатковими статтями з знаннями для отримання додаткової інформації:
Dell Unity: Неможливо налаштувати KMIP сервер при використанні зовнішнього Microsoft CA для підписання сертифіката клієнта (коригується користувачем)

Dell Unity: Як конвертувати несумісний клієнтський сертифікат PKCS#12 для використання з KMIP

Зверніться до документації постачальника для налаштування KMIP.
Деякі постачальники використовують клієнтські сертифікати, які потребують порожнього імені користувача та пароля. 

Affected Products

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid
Article Properties
Article Number: 000223263
Article Type: How To
Last Modified: 12 ديسمبر 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.