Dell Unity: Jak upravit servery KMIP (aneb přechod k jinému dodavateli)

Summary: Jak upravit servery KMIP (Key Management Interoperability Protocol) (NEBO přejít k jinému dodavateli).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Pro konfigurace KMIP jsou vyžadovány dva typy certifikátů: Certifikační autorita (CA) a klientské certifikáty KMIP. Ověřte, zda je nutné aktualizovat certifikační autoritu, certifikát klienta KMIP nebo obojí.

Požadavky:

  • Aby bylo možné protokol KMIP povolit nebo zakázat, musí být servery KMIP přístupné a spuštěné.
  • Při nahrávání novější verze klientského certifikátu KMIP do pole Unity vždy existuje riziko, že může dojít k problému, pokud není totožný s předchozím klientským certifikátem kromě data ukončení platnosti OD a DO. 
  • To je důvod, proč se doporučuje zakázat protokol KMIP v poli Unity jako preventivní opatření při aktualizaci certifikátů. Pokud se vyskytne problém, KMIP se nepovolí, pokud nejsou certifikáty správné.
  • Při výměně disku nebo servisního procesu (SP) nebo před provedením změn certifikátu zálohujte úložiště klíčů D@RE z klienta KMIP. 
  • Doporučujeme uchovávat nejnovější kopii posledního souboru klientského certifikátu KMIP, který byl úspěšně nahrán a použit k povolení protokolu KMIP. To je v případě, že je to někdy potřeba. 

1. scénář: Změna pouze jednoho typu certifikátu v daném okamžiku. Může jít například o aktualizovaný certifikát pro data vypršení platnosti. 
Změny lze provádět pomocí nástroje Unisphere Manager. Přihlaste se do Unisphere, v pravém horním rohu vyberte ikonu ozubeného kola Settings , vyberte možnost Možnosti správy a poté možnost Šifrování.

  1. Zakažte protokol KMIP, dokud se pole stále může připojit k původnímu serveru KMIP.
    Tím je zajištěno, že nedojde ke ztrátě hlavního klíče na klientovi/serveru KMIP, pokud by během přechodu došlo k problémům.
  2. Pokud nejsou vyžadovány žádné změny certifikátů certifikační autority, které jsou již importovány do pole Unity, upravte pouze servery KMIP. Importujte nový klientský certifikát KMIP. Pokud je místo toho potřeba provést změny certifikátu CA, upravte tento certifikát a importujte jej pomocí nástroje Unisphere. Pokud obě zařízení potřebují aktualizaci, proveďte nejprve certifikační autoritu a znovu povolte protokol KMIP, abyste měli jistotu, že proběhne úspěšně. Opakujte kroky 1–3 znovu pro klientský certifikát KMIP. 
  3. Povolte KMIP.

2. scénář: Změna certifikátu certifikační autority nebo klientského certifikátu KMIP na jiného dodavatele. Pokud existuje významný rozdíl oproti původnímu certifikátu, je vyžadován následující údaj.

Tím se vymaže bezpečnostní modul Unity KMIP, kde jsou uložena konfigurace a certifikáty a nastaveny od začátku s požadovanými certifikáty. 

Je třeba kontaktovat podporu společnosti Dell a odkázat na tento článek znalostní databáze: Dell Unity: Při pokusu o povolení serveru KMIP se zobrazí chyba certifikátu

  1. Zakažte protokol KMIP pomocí nástroje Unisphere z kroku 1 výše.
  2. Odstraňte konfiguraci KMIP. K tomu se používá interní část výše uvedeného článku znalostní databáze, která vyžaduje kořenový shell vyšší úrovně.
  3. Vytvořte novou konfiguraci KMIP. Vytvořte novou certifikační autoritu a klientský certifikát KMIP na základě požadavků dodavatelů.
  4. Nahrajte novou certifikační autoritu a klientské certifikáty KMIP.
  5. Povolte KMIP.

Additional Information

Další informace o změnách certifikátu:

  • Je možné mít více certifikátů CA a platnost některých může vypršet. Pokud je nahrán nový certifikát, který se shoduje s názvem subjektu existujícího certifikátu certifikační autority, je nahrazen.
  • OSVĚDČENÝM POSTUPEM je nemít certifikační autoritu a platnost klientských certifikátů KMIP vyprší příliš blízko sebe, takže je čas aktualizovat certifikační autoritu nebo klienta a ověřit, že fungují. 
  • Může existovat pouze jeden klientský certifikát KMIP. V nástroji Unisphere pod tlačítkem Certificate Management se data aktualizují, jakmile proběhne úspěšné nahrání upraveného klientského certifikátu.
  • Pokud dojde k problémům s nově nahraným klientským certifikátem, může se stát, že pole Unity nebude moci získat spouštěcí klíč úložiště klíčů D@RE ze serveru KMIP. To může být důvodem, proč při pokusu o ověření nebo povolení dochází k chybám KMIP. 

Informace o příkazovém řádku KMIP:
K nahrání nebo kontrole stavu protokolu KMIP lze použít příkazový řádek Unity

Nahrání certifikátů KMIP z příkazového řádku zde není uvedeno. Další informace naleznete v příručce ke konfiguraci zabezpečení úložiště Unity .

Tato stránka je určena pro dokumenty a informace k produktu Dell Unity : Tento web poskytuje většinu veřejné dokumentace k produktům Unity: Informační centrum Dell Unity

Hledat: Příručka ke konfiguraci zabezpečení úložiště Unity

Otevře se odkaz na příručku ve formátu PDF, jejíž zobrazení vyžaduje přihlášení. 

Níže jsou užitečné některé užitečné příklady prostředí služby Unity:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Reference:
Dell Unity: Šifrování dat v klidu.
Dell Unity: Šifrování neaktivních dat – dokument whitepaper

Další informace naleznete v těchto dalších článcích znalostní databáze:
Dell Unity: Nelze nakonfigurovat server KMIP při použití externí certifikační autority Microsoft k podepisování klientského certifikátu (oprava uživatelem)

Dell Unity: Jak převést nekompatibilní klientský certifikát PKCS#12 pro použití s protokolem KMIP

Informace o konfiguraci protokolu KMIP najdete v dokumentaci výrobce.
Někteří dodavatelé používají klientské certifikáty, které vyžadují prázdné uživatelské jméno a heslo. 

Affected Products

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid
Article Properties
Article Number: 000223263
Article Type: How To
Last Modified: 12 ديسمبر 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.