Dell Unity：如何修改 KMIP 服务器（或切换到其他供应商）

KMIP 配置需要两种证书类型：证书颁发机构 （CA） 和 KMIP 客户端证书。确认是否必须更新 CA 和/或 KMIP 客户端证书。

前提条件：

• KMIP 服务器必须可访问且正在运行，才能启用或禁用 KMIP。
• 将较新版本的客户端 KMIP 证书上传到 Unity 时，如果该证书与以前的客户端证书不完全相同，而不是到期日期和结束日期，则始终存在引入问题的风险。 
• 因此，建议在更新证书时在 Unity 上禁用 KMIP，以作为预防措施。如果存在问题，则在证书不正确的情况下不会启用 KMIP。
• 在更换磁盘或服务进程 （SP） 时或在更改证书之前，从 KMIP 客户端备份 D@RE 密钥库。 
• 建议保留上次成功上传并用于启用 KMIP 的 KMIP 客户端证书文件的最新副本。这是在永远需要的情况下。 

情况 1：一次仅更改一种证书类型。例如，这可以是到期日期的更新证书。
可以通过 Unisphere Manager 进行更改。登录到 Unisphere，转至右上角菜单栏上的 设置齿轮 图标，选择 管理选项，然后选择 加密。

1. 在阵列仍可连接到原始 KMIP 服务器时禁用 KMIP。
   这可确保在转换过程中发生任何问题时，KMIP 客户端/服务器上的主密钥不会丢失。
2. 如果不需要对已导入 Unity 的 CA 证书进行任何更改，则仅修改 KMIP 服务器。导入新的客户端 KMIP 证书。如果需要更改 CA 证书，请修改此证书并使用 Unisphere 导入它。如果两者都需要更新，请先执行 CA，然后再次启用 KMIP 以确保更新成功。对 KMIP 客户端证书再次重复步骤 1-3。 
3. 启用 KMIP。

情况 2：将 CA 证书或 KMIP 客户端证书更改为其他供应商。如果与原始证书存在显著差异，则需要满足以下条件。

这将清除存储配置和证书的 Unity KMIP 密码箱，并从一开始就使用所需的证书进行设置。 

这需要联系戴尔支持并引用此知识库文章：Dell Unity：尝试启用 KMIP 服务器时收到证书错误

1. 使用上面步骤 1 中的 Unisphere 禁用 KMIP。
2. 删除 KMIP 配置。这将使用上述知识库文章的内部部分，该部分需要更高级别的 root shell。
3. 创建新的 KMIP 配置。根据供应商的要求创建新的 CA 和 KMIP 客户端证书。
4. 上传新的 CA 和客户端 KMIP 证书。
5. 启用 KMIP。

有关证书更改的其它信息：

• 可以有多个 CA 证书，有些证书可能已过期。如果上传了新证书，并且该证书的使用者名称与现有 CA 证书的使用者名称匹配，则会替换该证书。
• 最佳做法是不要让 CA 和 KMIP 客户端证书的到期时间太近，以至于没有时间更新 CA 或客户端并确认它们是否正常工作。 
• 只能存在一个 KMIP 客户端证书。在 Unisphere 中的“证书管理”按钮下，修改后的客户端证书上传成功后，日期将更新。
• 如果新上载的客户端证书存在问题，Unity 可能无法从 KMIP 服务器获取D@RE密钥库 ignition-key。这可能是尝试验证或启用时发生 KMIP 错误的原因。 

KMIP 命令行信息：
可以使用 Unity 命令行 上传 KMIP 或检查 KMIP 的状态。 

此处未显示从命令行上传 KMIP 证书的过程。有关详细信息，请参阅《 Unity 安全配置指南 》。

此站点是 Dell Unity 信息中心 产品文档和信息：该网站提供了 Unity 产品的大部分公共文档：Dell Unity 信息中心

寻找：Unity 安全配置指南

这将打开指向指南的 PDF 的链接，需要登录才能查看。 

以下是一些有用的 Unity 服务 shell 示例：

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

参考资料：
Dell Unity：静态数据加密。
Dell Unity：静态数据加密 — 白皮书

有关详细信息，请参阅这些其他知识库文章：
Dell Unity：使用外部 Microsoft CA 签署客户端证书时无法配置 KMIP 服务器（用户可纠正）

Dell Unity：如何转换不兼容的 PKCS#12 客户端证书以用于 KMIP

请参阅供应商文档以配置 KMIP。
某些供应商使用的客户端证书需要空用户名和密码。