Isilon: OneFS SyncIQ-beleid configureren voor het gebruik van SSL-versleuteling

Summary: Stappen voor het maken, valideren en gebruiken van SSL-certificaten met SyncIQ-beleid in 8.2 en hoger.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Met betrekking tot Dell KB-artikel 153928: DSA-2020-039: Dell Isilon OneFS beveiligingsupdate voor een beveiligingslek in SyncIQ en de vereiste om SyncIQ samen met SSL-versleuteling te gebruiken.

Hieronder staan de stappen om dat in een LAB te configureren.

Notitie:    

  1. De onderstaande certificaten zijn gemaakt in een lab met behulp van het hulpprogramma OpenSSL. Het staat klanten echter vrij om hun eigen certificaten te gebruiken op basis van hun specifieke beveiligingsvereisten.
  2. In ons voorbeeld is de geldigheidsduur ingesteld op 365 dagen (één jaar). Volg actuele industriestandaarden en lokaal beveiligingsbeleid bij het invoeren van de lengte van de geldigheidsperiode, het sleuteltype, de sleutelgrootte en het hashing-algoritme
  3. Alle gegenereerde certificaten, inclusief het CA-certificaat (Certificate Authority Certificate), moeten een unieke CN-waarde (Common Name) hebben.


Procedure:      

  1. Een zelfondertekend CA-certificaat maken:       
Source-1# mkdir /ifs/data/Isilon_Support/synciq_certs
Source-1# chmod 700 /ifs/data/Isilon_Support/synciq_certs
Source-1# cd /ifs/data/Isilon_Support/synciq_certs
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out ca.csr -keyout ca.key
Source-1# openssl x509 -days 365 -trustout -signkey ca.key -req -in ca.csr -out ca.crt
Signature ok
subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=isilon.lab
Getting Private key
Source-1# openssl x509 -in ca.crt -outform PEM -out ca.pem
Source-1# ls ca*
ca.crt  ca.csr  ca.key  ca.pem
  1. Maak een broncertificaat "child cert" en onderteken dit met de CA die in stap 1 is gemaakt.
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out source.csr -keyout source.key
Source-1# openssl x509 -days 365 -req -in source.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out source.crt
Signature ok
subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=source.isilon.lab
Getting CA Private Key
Source-1# openssl x509 -in source.crt -outform PEM -out source.pem
Source-1# ls source*
source.crt      source.csr      source.key      source.pem
Source-1# openssl verify -CAfile ca.pem source.pem
source.pem: OK
  1. Maak een doelcertificaat "child cert" en onderteken dit met de CA die in stap 1 is gemaakt.
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out target.csr -keyout target.key
Source-1# openssl x509 -days 365 -req -in target.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out target.crt
Signature ok
subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=target.isilon.lab
Getting CA Private Key
Source-1# openssl x509 -in target.crt -outform PEM -out target.pem
Source-1# ls target*
target.crt      target.csr      target.key      target.pem
Source-1# openssl verify -CAfile ca.pem target.pem
target.pem: OK
  1. Kopieer de vereiste certificaten en sleutels naar het doelcluster. 
Target-1# mkdir /ifs/data/Isilon_Support/synciq_certs
Source-1# scp target.* xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs
Source-1# scp source.pem xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs
Source-1# scp ca.pem xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs

On Source Cluster:     

  1. Een SyncIQ-beleid maken voor het testen:     
Source-1# mkdir /ifs/data/<test-dir-name>
Source-1# isi sync policies create --name=Test_SSL --source-root-path=/ifs/data/<test-dir-name> --target-host=xxx.xxx.xxx.xxx --target-path=/ifs/data/<test-dir-name> --action=sync
  1. Importeer het CA-certificaat naar het Isilon-certificaatarchief. 
Source-1# isi certificate authority import --name=CA_Sync --certificate-path=/ifs/data/Isilon_Support/synciq_certs/ca.pem 
  1. Importeer het broncertificaat en de sleutel in het SyncIQ Server certificaatarchief en werk vervolgens de algemene SyncIQ-configuratie bij met de ID van het geïmporteerde certificaat.
Source-1# isi sync certificates server import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/source.pem --certificate-key-path=/ifs/data/Isilon_Support/synciq_certs/source.key
Source-1# isi sync certificates server list -v
          ID: e0a3377a5ed27808bbd8eba759d90335060ac53dc6f4da1f15fcb6c44ac743a8
        Name:
 Description:
     Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=source.isilon.lab
      Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab
      Status: valid
  Not Before: 2020-05-03T08:27:42
   Not After: 2025-05-03T08:27:42
Fingerprints
            Type: SHA1
           Value: b5:d1:21:30:a6:b5:ed:79:65:7d:e6:e3:6f:10:a8:23:63:81:2b:1c

            Type: SHA256
           Value: e0:a3:37:7a:5e:d2:78:08:bb:d8:eb:a7:59:d9:03:35:06:0a:c5:3d:c6:f4:da:1f:15:fc:b6:c4:4a:c7:43:a8

Source-1# isi sync settings modify --cluster-certificate-id=e0a3377a5ed27808bbd8eba759d90335060ac53dc6f4da1f15fcb6c44ac743a8
  1. Importeer het doelcertificaat in het SyncIQ Peer Certificate Store.
Source-1# isi sync certificates peer import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/target.pem
Source-1# isi sync certificates peer list -v
          ID: 3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06
        Name:
 Description:
     Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=target.isilon.lab
      Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab
      Status: valid
  Not Before: 2020-05-03T08:43:06
   Not After: 2025-05-03T08:43:06
Fingerprints
            Type: SHA1
           Value: 8e:12:52:c1:8c:12:1d:f8:ed:cf:da:8e:3d:3c:a3:47:21:79:43:0d

            Type: SHA256
           Value: 31:80:c6:16:ba:e6:39:c2:7b:42:2f:0c:46:08:85:5d:68:88:f2:03:27:ca:85:e9:e8:69:73:3e:85:bf:5b:06
  1. Wijzig het SyncIQ-beleid om de ID van het geïmporteerde doelcertificaat te gebruiken
Source-1# isi sync policies modify --policy=Test_SSL --target-certificate-id=3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06

Op schema:      

  1. Importeer het CA-certificaat naar het Isilon-certificaatarchief.
Target-1# isi certificate authority import --name=CA_Sync --certificate-path=/ifs/data/Isilon_Support/synciq_certs/ca.pem
  1. Importeer het broncertificaat in het SyncIQ Peer Certificate Store.
Target-1# isi sync certificates peer import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/source.pem
  1. Importeer het doelcertificaat en de sleutel in het SyncIQ Server certificaatarchief en werk de algemene SyncIQ-configuratie bij met de ID van het geïmporteerde certificaat.
Target-1# isi sync certificates server import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/target.pem --certificate-key-path=/ifs/data/Isilon_Support/synciq_certs/target.key
Target-1# isi sync certificates server list -v
          ID: 3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06
        Name:
 Description:
     Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=target.isilon.lab
      Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab
      Status: valid
  Not Before: 2020-05-03T08:43:06
   Not After: 2025-05-03T08:43:06
Fingerprints
            Type: SHA1
           Value: 8e:12:52:c1:8c:12:1d:f8:ed:cf:da:8e:3d:3c:a3:47:21:79:43:0d

            Type: SHA256
           Value: 31:80:c6:16:ba:e6:39:c2:7b:42:2f:0c:46:08:85:5d:68:88:f2:03:27:ca:85:e9:e8:69:73:3e:85:bf:5b:06

Target-1# isi sync settings modify --cluster-certificate-id=3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06


Bron:       

  1. Voer het SyncIQ-beleid uit en controleer of het met succes wordt uitgevoerd. 
Source-1# isi sync jobs start  Test_SSL
2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord: Job specified by name Test_SSL
2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Starting job 'Test_SSL' (e5fc89d623dda31b58437c86c59cbdfb)
2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Cipher being used for encryption: AES256-GCM-SHA384
...
...
...
2020-05-03T08:56:10+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Finished job 'Test_SSL' (e5fc89d623dda31b58437c86c59cbdfb) to xxx.xxx.xxx.xxx in 0h 0m 5s with status success and 0 checksum errors

Opmerkingen:       

  • Elk cluster heeft ééncertificaat dat fungeert als het clustercertificaat van het serverarchief "# isi sync settings modify --cluster-certificate-id."
  • Elk beleid gebruikt standaard het certificaat van het cluster als broncertificaat.
  • Werk in het peer-archief het unieke clustercertificaat van het doelcluster bij.
  • Configureer het beleid voor het gebruik van het juiste certificaat van het doel "imported in the peer certificate."
  • Bekijk het volgende artikel als extv3 wordt gebruikt in het certificaat, Dell KB-artikel 186531: Versleuteld SyncIQ-beleid mislukt met "sslv3 alert unsupported certificate".

Affected Products

PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000021507
Article Type: How To
Last Modified: 13 Nov 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.