Ісілон: OneFS: як налаштувати політики SyncIQ для використання шифрування SSL

Summary: Інструкції зі створення, перевірки та використання сертифікатів SSL із політиками SyncIQ у версії 8.2 та пізніших версіях.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

У зв'язку зі статтею Dell KB 153928: ДСА-2020-039: Dell Isilon OneFS Security Update для вразливості SyncIQ і вимога використовувати SyncIQ разом із шифруванням SSL.

Нижче наведено кроки щодо того, як налаштувати це в лабораторії.

Примітка:    

  1. Сертифікати, використані нижче, створюються в лабораторії за допомогою утиліти OpenSSL. Однак клієнти можуть вільно використовувати власні сертифікати на основі їхніх конкретних вимог безпеки.
  2. У нашому прикладі термін дії встановлений на рівні 365 днів (один рік). Дотримуйтесь актуальних галузевих стандартів і місцевих політик безпеки під час введення тривалості терміну дії, типу ключа, розміру ключа та алгоритму хешування
  3. Усі згенеровані сертифікати, включно з сертифікатом центру сертифікації (CA), повинні мати унікальне значення Common Name (CN).


Процедура:      

  1. Створіть самопідписаний сертифікат ЦС:       
Source-1# mkdir /ifs/data/Isilon_Support/synciq_certs
Source-1# chmod 700 /ifs/data/Isilon_Support/synciq_certs
Source-1# cd /ifs/data/Isilon_Support/synciq_certs
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out ca.csr -keyout ca.key
Source-1# openssl x509 -days 365 -trustout -signkey ca.key -req -in ca.csr -out ca.crt
Signature ok
subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=isilon.lab
Getting Private key
Source-1# openssl x509 -in ca.crt -outform PEM -out ca.pem
Source-1# ls ca*
ca.crt  ca.csr  ca.key  ca.pem
  1. Створіть сертифікат вихідного коду «сертифікат дитини» та підпишіть його відповідно до ЦС, створеного на кроці 1.
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out source.csr -keyout source.key
Source-1# openssl x509 -days 365 -req -in source.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out source.crt
Signature ok
subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=source.isilon.lab
Getting CA Private Key
Source-1# openssl x509 -in source.crt -outform PEM -out source.pem
Source-1# ls source*
source.crt      source.csr      source.key      source.pem
Source-1# openssl verify -CAfile ca.pem source.pem
source.pem: OK
  1. Створіть цільовий сертифікат «сертифікат дитини» та підпишіть його відповідно до ЦС, створеного на кроці 1.
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out target.csr -keyout target.key
Source-1# openssl x509 -days 365 -req -in target.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out target.crt
Signature ok
subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=target.isilon.lab
Getting CA Private Key
Source-1# openssl x509 -in target.crt -outform PEM -out target.pem
Source-1# ls target*
target.crt      target.csr      target.key      target.pem
Source-1# openssl verify -CAfile ca.pem target.pem
target.pem: OK
  1. Скопіюйте необхідні сертифікати та ключі до цільового кластера. 
Target-1# mkdir /ifs/data/Isilon_Support/synciq_certs
Source-1# scp target.* xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs
Source-1# scp source.pem xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs
Source-1# scp ca.pem xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs

На вихідному кластері:     

  1. Створіть політику SyncIQ для тестування:     
Source-1# mkdir /ifs/data/<test-dir-name>
Source-1# isi sync policies create --name=Test_SSL --source-root-path=/ifs/data/<test-dir-name> --target-host=xxx.xxx.xxx.xxx --target-path=/ifs/data/<test-dir-name> --action=sync
  1. Імпортуйте сертифікат ЦС до сховища Isilon Certificate. 
Source-1# isi certificate authority import --name=CA_Sync --certificate-path=/ifs/data/Isilon_Support/synciq_certs/ca.pem 
  1. Імпортуйте вихідний сертифікат і ключ у сховище сертифікатів сервера SyncIQ, а потім оновіть глобальну конфігурацію SyncIQ, додавши ідентифікатор імпортованого сертифіката.
Source-1# isi sync certificates server import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/source.pem --certificate-key-path=/ifs/data/Isilon_Support/synciq_certs/source.key
Source-1# isi sync certificates server list -v
          ID: e0a3377a5ed27808bbd8eba759d90335060ac53dc6f4da1f15fcb6c44ac743a8
        Name:
 Description:
     Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=source.isilon.lab
      Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab
      Status: valid
  Not Before: 2020-05-03T08:27:42
   Not After: 2025-05-03T08:27:42
Fingerprints
            Type: SHA1
           Value: b5:d1:21:30:a6:b5:ed:79:65:7d:e6:e3:6f:10:a8:23:63:81:2b:1c

            Type: SHA256
           Value: e0:a3:37:7a:5e:d2:78:08:bb:d8:eb:a7:59:d9:03:35:06:0a:c5:3d:c6:f4:da:1f:15:fc:b6:c4:4a:c7:43:a8

Source-1# isi sync settings modify --cluster-certificate-id=e0a3377a5ed27808bbd8eba759d90335060ac53dc6f4da1f15fcb6c44ac743a8
  1. Імпортуйте цільовий сертифікат у сховище однорангових сертифікатів SyncIQ.
Source-1# isi sync certificates peer import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/target.pem
Source-1# isi sync certificates peer list -v
          ID: 3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06
        Name:
 Description:
     Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=target.isilon.lab
      Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab
      Status: valid
  Not Before: 2020-05-03T08:43:06
   Not After: 2025-05-03T08:43:06
Fingerprints
            Type: SHA1
           Value: 8e:12:52:c1:8c:12:1d:f8:ed:cf:da:8e:3d:3c:a3:47:21:79:43:0d

            Type: SHA256
           Value: 31:80:c6:16:ba:e6:39:c2:7b:42:2f:0c:46:08:85:5d:68:88:f2:03:27:ca:85:e9:e8:69:73:3e:85:bf:5b:06
  1. Змініть політику SyncIQ для використання ідентифікатора імпортованого цільового сертифіката
Source-1# isi sync policies modify --policy=Test_SSL --target-certificate-id=3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06

На цілі:      

  1. Імпортуйте сертифікат ЦС до сховища Isilon Certificate.
Target-1# isi certificate authority import --name=CA_Sync --certificate-path=/ifs/data/Isilon_Support/synciq_certs/ca.pem
  1. Імпортуйте вихідний сертифікат у сховище однорангових сертифікатів SyncIQ.
Target-1# isi sync certificates peer import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/source.pem
  1. Імпортуйте цільовий сертифікат і ключ у сховище сертифікатів сервера SyncIQ і оновіть глобальну конфігурацію SyncIQ ідентифікатором імпортованого сертифіката.
Target-1# isi sync certificates server import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/target.pem --certificate-key-path=/ifs/data/Isilon_Support/synciq_certs/target.key
Target-1# isi sync certificates server list -v
          ID: 3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06
        Name:
 Description:
     Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=target.isilon.lab
      Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab
      Status: valid
  Not Before: 2020-05-03T08:43:06
   Not After: 2025-05-03T08:43:06
Fingerprints
            Type: SHA1
           Value: 8e:12:52:c1:8c:12:1d:f8:ed:cf:da:8e:3d:3c:a3:47:21:79:43:0d

            Type: SHA256
           Value: 31:80:c6:16:ba:e6:39:c2:7b:42:2f:0c:46:08:85:5d:68:88:f2:03:27:ca:85:e9:e8:69:73:3e:85:bf:5b:06

Target-1# isi sync settings modify --cluster-certificate-id=3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06


На джерело:       

  1. Запустіть політику SyncIQ і переконайтеся, що вона успішно працює. 
Source-1# isi sync jobs start  Test_SSL
2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord: Job specified by name Test_SSL
2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Starting job 'Test_SSL' (e5fc89d623dda31b58437c86c59cbdfb)
2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Cipher being used for encryption: AES256-GCM-SHA384
...
...
...
2020-05-03T08:56:10+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Finished job 'Test_SSL' (e5fc89d623dda31b58437c86c59cbdfb) to xxx.xxx.xxx.xxx in 0h 0m 5s with status success and 0 checksum errors

Нотатки:       

  • Кожен кластер має одинсертифікат, який виступає в якості сертифіката кластера зі сховища серверів "# isi sync settings modify --cluster-certificate-id."
  • Кожна політика використовує сертифікат кластера за замовчуванням як сертифікат джерела.
  • У одноранговому магазині оновіть унікальний сертифікат кластера цільового кластера.
  • Налаштуйте політику для використання потрібного сертифіката цілі "imported in the peer certificate."
  • Розглянемо наступну статтю, якщо в сертифікаті використовується extv3, стаття Dell KB 186531: Зашифровані політики SyncIQ зазнають невдачі з «sslv3 alert unsupported certificate».

Affected Products

PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000021507
Article Type: How To
Last Modified: 11 Dec 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.