PowerStore : Procédures de renouvellement du certificat

Résumé: Cet article décrit les procédures de renouvellement des certificats internes lorsque des alertes de certificat sont déclenchées sur un cluster doté de PowerStoreOS 4.1 (ou version ultérieure). ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Informations

Des alertes d’expiration de certificat s’affichent lorsqu’un certificat arrive bientôt à expiration ou lorsque le renouvellement automatique d’un certificat échoue.

  • Pour les certificats importés par l’utilisateur, l’utilisateur doit télécharger un nouveau certificat pour remplacer le certificat arrivant à expiration.
  • Pour les certificats renouvelés automatiquement, en cas d’échec, un script de récupération doit être utilisé pour renouveler manuellement le certificat.

PowerStore utilise des certificats pour authentifier et valider les connexions TLS avec les systèmes externes. Les certificats sont valides pour des périodes spécifiques, généralement un an ou plus. Lorsqu'un certificat expire, le service associé peut cesser de fonctionner, ou fonctionner dans un mode dégradé.

Pour éviter tout impact sur le service, l’expiration du certificat doit être surveillée afin de donner à l’utilisateur le temps d’obtenir et d’installer un nouveau certificat avant l’expiration de l’ancien certificat.

PowerStoreOS version 4.1.0.0 (ou ultérieure) surveille automatiquement l’expiration des certificats, en vérifiant une fois tous les minuit (UTC). Lorsqu’un certificat arrive bientôt à expiration, PowerStore génère des alertes selon que le certificat a été généré et signé en interne (par l’autorité de certification PowerStore) ou signé par une autorité de certification privée et importé par l’utilisateur.

 

Remarque : En règle générale, PowerStore ne prend pas en charge les CA tierces qui signent le certificat de l’interface utilisateur. Le forum des navigateurs interdit aux autorités de certification de signer des certificats avec des adresses IP restreintes dans le certificat. Étant donné que les adresses IP privées sont incluses dans la liste des adresses restreintes et également requises dans le certificat par PowerStore, l’autorité de certification refusera la demande. La seule possibilité d’obtenir un certificat signé par une autorité de certification tierce consiste à utiliser pour le réseau de gestion des adresses IP publiques fournies par un FAI ou un IANA.

 

Cet article fait référence à un certificat signé par une autorité de certification d’entreprise privée (par exemple, à l’aide d’OpenSSL, d’une autorité de certification Microsoft ou d’une autorité de certification similaire) 

 

Certificats signés par une autorité de certification privée

Des alertes sont générées lorsque PowerStore détermine qu’un certificat signé par une autorité de certification expire bientôt.

Les alertes générées sont les suivantes :

  • Alerte mineure lorsque le certificat expire dans 30 jours et qu’aucun nouveau certificat n’a été importé
  • Alerte majeure lorsque le certificat expire dans 15 jours et qu’aucun nouveau certificat n’a été importé
  • Alerte critique lorsque le certificat expire dans 7 jours et qu’aucun nouveau certificat n’a été importé
  • Alerte critique lorsqu’un certificat a expiré et qu’un nouveau certificat n’a pas été importé

Certificats signés par l’autorité de certification PowerStore

Les certificats signés par une autorité de certification PowerStore sont automatiquement renouvelés lorsqu’ils expirent dans 90 jours. Si le renouvellement automatique échoue, PowerStore tente de renouveler le certificat toutes les vingt-quatre heures jusqu’à ce que le renouvellement réussisse.

Les alertes générées sont les suivantes :

  • Alerte majeure en cas d’échec du renouvellement automatique 90 jours avant l’expiration
  • Alerte majeure en cas d’échec du renouvellement automatique 60 jours avant l’expiration
  • Alerte critique en cas d’échec du renouvellement automatique 30 jours avant l’expiration
  • Alerte critique à l’expiration du certificat

Étapes de dépannage :

Certificats signés par une autorité de certification privée

Vous trouverez ci-dessous les étapes à suivre pour chaque service. Lorsqu’un nouveau certificat est chargé avec succès, une ou plusieurs alertes sont automatiquement acquittées.

Certificat du cluster PowerStore et de l’interface utilisateur graphique

1. Étapes générales de remplacement du certificat de serveur signé par une autorité de certification du cluster PowerStore :

  1. Pour générer une CSR pour importer un certificat de serveur signé par une autorité de certification (AC) privée :

    Étapes

    1. Sélectionnez Paramètres et sous Sécurité, sélectionnez Certificat de cluster signé.
    2. Sélectionnez Générer une CSR.
      Le panneau déroulant Générer une CSR s’affiche.
    3. Saisissez les informations utilisées pour générer la CSR.
    4. Cliquez sur Générer.
      Le panneau déroulant Générer une CSR change pour afficher les étapes suivantes qui doivent être effectuées avec le texte du certificat.
    5. Cliquez sur Copier dans le presse-papiers pour copier le texte du certificat dans votre presse-papiers.
    6. Cliquez sur Fermer.
    7. Faites signer le certificat par l’autorité de certification (AC) afin qu’il puisse être importé en tant que certificat d’authentification mutuelle.

  2. Pour importer un certificat de cluster signé à l’aide de PowerStore Manager :

    Étapes

    1. Sélectionnez Paramètres et sous Sécurité, sélectionnez Certificat de cluster signé.
      La page Certificat de cluster signé s’affiche.
    2. Sélectionnez Importer.
    3. Effectuez l'une des opérations suivantes :
      • Sélectionnez « Sélectionner un fichier de certificat », puis recherchez et sélectionnez le fichier à importer.
      • Sélectionnez « Coller le texte du certificat », puis copiez et collez le texte du certificat dans la zone de texte.
    4. Sélectionnez Importer.

2. Le service HTTP de gestion expire :

  1. Suivez GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate pour remplacer le certificat de serveur tiers du cluster PowerStore.
  2. Si le cluster local participe à une relation de réplication, assurez-vous que la connexion de réplication est toujours fonctionnelle.

3. Le service HTTP de gestion a expiré :

  1. Si le cluster local n’est pas dans une relation de réplication, suivez GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate pour renouveler manuellement le certificat.

  2. Si le cluster local se trouve dans une relation de réplication, à ce stade, vous verrez probablement que la connexion de gestion est interrompue entre les deux clusters. (Même si elle n’apparaît pas comme étant interrompue, une fois la nouvelle connexion TLS établie, l’état de la connexion est mis à jour comme étant rompu.) Exécutez les trois étapes suivantes :

    1. Exécutez la commande pstcli pour réinitialiser le certificat de serveur du cluster local sur la valeur par défaut de l’autorité de certification PowerStore signée. 
      pstcli -user <<username>>  -password <<Password>> -destination localClusterIP /x509_certificate reset_certificates -service Management_HTTP -scope External
    2. Exécutez l’échange pstcli pour rétablir la connexion de gestion de la réplication. (Assurez-vous que la connexion de réplication est restaurée) 
      pstcli -user admin -password <<Password>> -destination localClusterIP /x509_certificate exchange -address remoteClusterIP -port 443 -service Replication_HTTP -username <<username>> -password <<Password>>
    3. Suivez GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate pour actualiser les certificats.

Serveur CA de réplication

  1. Si l’autorité de certification arrive à expiration sur le système distant, suivez Management_HTTP_service_is_expiring pour actualiser le certificat de serveur sur le système distant, il renouvelle automatiquement le serveur d’autorité de certification de réplication.
  2. Si l’autorité de certification a expiré, sur le système distant, suivez Management_HTTP_service_has_expired pour actualiser le certificat de serveur sur le système distant, il renouvelle automatiquement le serveur d’autorité de certification de réplication.

SecurID

  1. Sélectionnez Paramètres et sous Sécurité, sélectionnez Authentification, puis sélectionnez l’onglet RSA SecurID .
  2. Pour importer une nouvelle chaîne de certificats d’autorité de certification afin de remplacer le certificat d’autorité de certification existant utilisé par PowerStore, cliquez sur Importer sur le côté gauche de l’écran au-dessus du tableau Certificats :
  3. Sélectionnez et importez le fichier de certificat ou collez le texte du certificat (au format PEM) dans le panneau coulissant Importer le certificat RSA SecurID.
    Remarque : S’il existe plusieurs certificats d’autorité de certification dans la chaîne, ils doivent tous être importés dans un seul fichier de certificat ou un seul bloc de texte, dans l’ordre croissant. Par exemple, le certificat d’autorité de certification racine doit être Last. S’il est importé sous forme de bloc de texte, ajoutez un retour chariot entre la fin d’un certificat et le début du suivant.

  4. Plusieurs certificats sont pris en charge, de sorte que le certificat d’autorité de certification existant reste jusqu’à son expiration. Lorsque le certificat d’autorité de certification existant expire et qu’un certificat de remplacement a été importé, il est automatiquement supprimé.

    Pour prendre en charge le transfert fluide des certificats d’autorité de certification, nous prenons en charge la coexistence de plusieurs certificats d’autorité de certification. Afin d’assurer le bon déroulement du processus, avant l’expiration du certificat d’autorité de certification :

    1. Téléchargez le nouveau certificat d’autorité de certification sur PowerStore, avant de passer au nouveau certificat d’autorité de certification signé de serveur sur le serveur SecurID.
    2. Sur le serveur SecurID, basculez pour utiliser le nouveau certificat de serveur signé par une autorité de certification.

LDAPS
Lorsque LDAPS est configuré, PowerStore se connecte au serveur LDAP à l’aide de TLS. PowerStore nécessite le téléchargement du fichier de chaîne de certificats de l’autorité de certification pour vérifier correctement le certificat de serveur reçu du serveur LDAP lors de l’établissement de la session TLS.

  1. Étapes :

    Remarque : S’il existe plusieurs certificats d’autorité de certification dans la chaîne de certificats, ils doivent tous être importés dans un seul fichier de certificat, dans l’ordre croissant. Par exemple, le certificat d’autorité de certification racine doit être Last.
    1. Sélectionnez Paramètres et sous Sécurité, sélectionnez Authentification. Sélectionnez ensuite l’onglet LDAP .
    2. Cliquez sur Importer sur le côté gauche de l’écran, au-dessus du tableau Certificats.

      La boîte de dialogue Télécharger le fichier s’affiche.

    3. Cliquez sur Choose File (Choisir un fichier).
    4. Accédez au fichier de certificat souhaité, sélectionnez-le et cliquez sur Ouvrir.
    5. Une fois le chargement du fichier terminé, cliquez sur Appliquer pour enregistrer les modifications de configuration.

  2. Plusieurs certificats sont pris en charge, de sorte que le certificat d’autorité de certification existant reste jusqu’à son expiration. Lorsque le certificat d’autorité de certification existant expire et qu’un certificat de remplacement a été importé, il est automatiquement supprimé.

    Pour prendre en charge le transfert fluide des certificats d’autorité de certification, nous prenons en charge la coexistence de plusieurs certificats d’autorité de certification. Afin d’assurer le bon déroulement du processus, avant l’expiration du certificat d’autorité de certification :

    1. Téléchargez le nouveau certificat d’autorité de certification sur PowerStore, avant de passer au nouveau certificat d’autorité de certification signé de serveur sur le serveur LDAP.
    2. Sur le serveur LDAP, basculez pour utiliser le nouveau certificat de serveur signé par une autorité de certification.

Syslog distant

  1. Le client peut importer un certificat d’autorité de certification de serveur pour l’authentification unidirectionnelle et/ou un certificat d’authentification mutuelle pour l’authentification bidirectionnelle. Le certificat d’autorité de certification du serveur est requis pour le chiffrement TLS.

  2. Pour importer un certificat à l’aide de PowerStore Manager, procédez comme suit :

    Étapes :

    1. Cliquez sur Paramètres et sous Sécurité, sélectionnez Consignation à distance.
      La page Consignation à distance s’affiche.
    2. Sous Certificats, sélectionnez Importer et sélectionnez le type de certificat à importer.
      Le panneau déroulant du certificat correspondant s’affiche.
    3. Effectuez l'une des opérations suivantes :
      • Sélectionnez « Sélectionner un fichier de certificat », puis recherchez et sélectionnez le fichier à importer.
      • Sélectionnez «P aste Certificate File », puis copiez et collez le texte du certificat dans la zone de texte.
    4. Sélectionnez Importer.
      Le certificat doit apparaître dans la liste sous Certificats.

  3. Alors que le certificat mutuel arrive à expiration, pour garantir le renouvellement sans interruption de la certification mutuelle, s’il est autorisé sur le système distant avant de commencer le processus de remplacement du certificat d’authentification mutuelle, assurez-vous que le certificat d’autorité de certification que vous êtes sur le point d’utiliser pour signer le nouveau certificat mutuel se trouve dans le magasin de confiance de votre journal sys distant.

  4. La génération d’une CSR s’applique à un certificat d’authentification mutuelle, qui est utilisé dans l’authentification bidirectionnelle entre PowerStore et le serveur syslog distant. Pour générer une CSR à l’aide de PowerStore Manager, procédez comme suit :

    Étapes :

    1. Sélectionnez Paramètres et sous Sécurité, sélectionnez Consignation à distance.
      La page Consignation à distance s’affiche.
    2. Sélectionnez Générer une CSR.
      Le panneau déroulant Générer une CSR s’affiche.
    3. Saisissez les informations utilisées pour générer la CSR.
    4. Cliquez sur Générer.
      Le panneau déroulant Générer une CSR change pour afficher les étapes suivantes qui doivent être effectuées avec le texte du certificat.
    5. Cliquez sur Copier dans le presse-papiers pour copier le texte du certificat dans votre presse-papiers.
    6. Cliquez sur Fermer.
    7. Faites signer le certificat par l’autorité de certification (AC) afin qu’il puisse être importé en tant que certificat d’authentification mutuelle.
    8. Importez le certificat d’authentification mutuelle signé (certificat CA client) dans PowerStore.

  5. Plusieurs chaînes de certificats sont prises en charge pour le certificat du serveur d’autorité de certification, mais seule la plus récente est utilisée. Une chaîne de certificats d’autorité de certification existante qui est remplacée par une chaîne de certificats d’autorité de certification ultérieure reste jusqu’à son expiration. Si la chaîne de certificats d’autorité de certification existante arrive à expiration et qu’une chaîne de certificats de remplacement est importée, la chaîne de certificats expirés est automatiquement supprimée.

KMIP (en anglais seulement)
Alors que le certificat mutuel expire, pour garantir le renouvellement sans interruption de la certification mutuelle, s’il est autorisé sur le système distant avant de commencer le processus de remplacement du certificat d’authentification mutuelle, assurez-vous que le certificat d’autorité de certification que vous êtes sur le point d’utiliser pour signer le nouveau certificat mutuel se trouve dans le magasin d’approbations de votre serveur KMIP.

Pour renouveler la clé client et le certificat, une demande de signature de certificat (CSR) doit être générée sur le système PowerStore, envoyée à l’autorité de certification concernée, puis le certificat résultant (signé) doit être importé dans PowerStore.

Pour générer une CSR à l’aide de PowerStore Manager, procédez comme suit :

  1. Sélectionnez Paramètres et sous Sécurité, sélectionnez KMIP.
    La page Configuration KMIP s’affiche.
  2. Sélectionnez Générer une CSR.
    Le panneau déroulant Générer une CSR s’affiche.
  3. Saisissez les informations utilisées pour générer la CSR.
  4. Cliquez sur Générer.
    Le panneau déroulant Générer une CSR change pour afficher les étapes suivantes qui doivent être effectuées avec le texte du certificat.
  5. Cliquez sur Copier dans le presse-papiers pour copier le texte du certificat dans votre presse-papiers.
  6. Cliquez sur Fermer.
  7. Notez qu’une entrée de certificat d’authentification mutuelle a été créée. Il sera utilisé ultérieurement lors de l’importation du certificat signé.
  8. Faites signer le certificat par l’autorité de certification (AC) afin qu’il puisse être importé en tant que certificat d’authentification mutuelle.
  9. Pour importer le certificat d’authentification mutuelle signé dans PowerStore :
    1. Sélectionnez l’entrée de certificat d’authentification mutuelle créée lors de la génération de la CSR.
    2. Cliquez sur le bouton Importer , puis sélectionnez Importer un certificat
      client. Le panneau déroulant Importer un certificat client s’affiche.
    3. Sélectionnez Certificat dans les Options d’importation, puis sélectionnez l’option Certificat souhaitée ( Fichier ou Texte ) pour importer le certificat.
    4. Spécifiez le nom de fichier ou collez le certificat dans la zone de texte, puis cliquez sur Importer.

Pour renouveler le certificat de l’autorité de certification du serveur :

  1. Sélectionnez Paramètres et sous Sécurité, sélectionnez KMIP.
    La page Configuration KMIP s’affiche.
  2. Cliquez sur le bouton Import et sélectionnez Import Server CA certificate.
    Le panneau déroulant Import Client Certificate s’affiche.
  3. Sélectionnez l’option d’importation souhaitée - Fichier ou Texte - pour importer le certificat.
  4. Spécifiez le nom de fichier ou collez le certificat dans la zone de texte, puis cliquez sur Importer.

Importation en mode bloc et fichier à partir d’un stockage externe et d’une sauvegarde à distance vers Data Domain

  1. Renouvelez le certificat expiré sur le système distant.
  2. Pour les systèmes distants de type sauvegarde à distance, l’action « Mettre à jour le certificat » est disponible dans (Protection → systèmes distants). (Migration → Importation d’un stockage externe) s’applique aux systèmes distants de type Importation en mode bloc et fichier. Ces actions récupèrent le certificat renouvelé à partir d’un système distant, l’affichent à l’utilisateur pour confirmation/acceptation, puis le mettent à jour dans PowerStore.
  3. Le certificat de PowerStore arrivant à expiration est automatiquement supprimé de PowerStore lors de la mise à jour du certificat renouvelé.

Certificat
de serveur signé par une autorité de certification VASADans ce cas, la génération de CSR est utilisée pour générer le certificat de serveur du fournisseur VASA. Pour générer une CSR à l’aide de PowerStore Manager, procédez comme suit :

  1. Sélectionnez Paramètres et sous Sécurité, sélectionnez Certificat VASA.
    La page Certificat VASA s’affiche.
  2. Sélectionnez Générer une CSR.
    Le panneau déroulant Générer une CSR s’affiche.
  3. Saisissez les informations utilisées pour générer la CSR.
  4. Cliquez sur Générer.
    Le panneau déroulant Générer une CSR change pour afficher les étapes suivantes qui doivent être effectuées avec le texte du certificat.
  5. Cliquez sur Copier dans le presse-papiers pour copier le texte du certificat dans votre presse-papiers.
  6. Cliquez sur Fermer.
  7. L’autorité de certification (AC) doit signer le certificat afin qu’il puisse être importé.

Le vCenter doit approuver l’autorité de certification du certificat en cours d’importation, sinon la fonctionnalité VASA devient indisponible. Pour ce faire, téléchargez dans le magasin d’approbations VMware vCenter la chaîne d’autorité de certification de signature utilisée à l’étape 7 de cette sous-section.

Pour importer un certificat à l’aide de PowerStore Manager, procédez comme suit :

  1. Cliquez sur Paramètres et, sous Sécurité, sélectionnez Certificat VASA.
    La page Certificat VASA s’affiche.
  2. Pour éviter que le certificat du serveur VASA ne soit écrasé par le vCenter, assurez-vous que le bouton Activer/Désactiver est défini sur Activé.
  3. Sélectionnez Importer.
    Le panneau déroulant Importer un certificat de serveur s’affiche.
  4. Effectuez l'une des opérations suivantes :
    1. Sélectionnez « Sélectionner un fichier de certificat », puis recherchez et sélectionnez le fichier à importer.
    2. Sélectionnez «P aste Certificate Text », puis copiez et collez le texte du certificat dans la zone de texte.
  5. Sélectionnez Importer.

Les informations détaillées du certificat doivent s’afficher sur la page Certificat VASA. En outre, l’entrée VASA qui s’affiche sur la page Certificat (Paramètres > Sécurité > Certificat) doit être identifiée par le Service comme VASA_HTTP et le Périmètre comme vasa.

Certificats signés par l’autorité de certification PowerStore

Il existe deux scripts de facilité de maintenance pour le renouvellement du certificat : svc_renew_vasa_self_signed_certificate et svc_renew_certificates.

svc_renew_vasa_self_signed_certificate renouveler le certificat signé par l’autorité de certification du serveur VASA PowerStore.

svc_renew_certificates renouveler les certificats signés par l’autorité de certification PowerStore, tels que le serveur de cluster PowerStore, le client de cluster PowerStore et l’authentification mutuelle de réplication.

Utilisation :

[SVC:service@835ZX23-B user]$ svc_renew_vasa_self_signed_certificate -h
usage: svc_renew_vasa_self_signed_certificate [-h] [--force] [--verbose] [--debug]
                                  [--quiet]

    This tool is used to renew the` VASA Server PowerStore CA signed certificate.


optional arguments:
  -h, --help  show this help message and exit
  --force
  --verbose
  --debug
  --quiet

--------------------------------------------------------------------------------------

[SVC:service@835ZX23-B user]$ svc_renew_certificates -h

usage: svc_renew_certificates [-h] [-d] [-v] {list,run} ...

  This tool is used to renew the PowerStore CA signed certificates such as;
  PowerStore Cluster Server, PowerStore Cluster Client, and Replication Mutual Authentication Certificate

  To list the the types of certificates available:
     svc_renew_certificates list

  To renew the specific certificate, or all:
     Renew all certificates:
        svc_renew_certificates run all

     Renew the Replication Mutual Authentication Certificate:
        svc_renew_certificates run replication_mutual_authentication

     Renew the PowerStore Cluster Server Internal certificate:
        svc_renew_certificates run powerstore_cluster_server_internal

     Renew the PowerStore Cluster Server External certificate:
            svc_renew_certificates run powerstore_cluster_server_external

     Renew the PowerStore Cluster Client certificate:
            svc_renew_certificates run powerstore_cluster_server_client

optional arguments:
  -h, --help     show this help message and exit
  -d, --debug    Increase logging level to debug and print logs to console
  -v, --verbose

action:
  {list,run}
    list         List the available certificates for renewal
    run          Renews the certificate type specified for renewal, or all

 

Produits concernés

PowerStore
Propriétés de l’article
Numéro d’article: 000211671
Type d’article: How To
Dernière modification: 31 oct. 2025
Version:  5
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.