Dell Unity: Jak ručně obnovit certifikát SSL pro správu Unity
概要: Tento článek vysvětluje, jak ručně obnovit certifikát SSL pro správu Unity, když se blíží vypršení platnosti stávajícího certifikátu nebo už vypršela jeho platnost. Obsahuje kroky potřebné k vygenerování, instalaci a ověření nového certifikátu pro správu, aby byl zachován bezpečný přístup k rozhraním pro správu Unity a nedocházelo k varováním či problémům s připojením souvisejícími s certifikáty. ...
手順
Certifikát SSL pro správu Unity je automaticky generován během počáteční konfigurace systému a obvykle se automaticky obnovuje před vypršením jeho platnosti. Pokud k automatickému obnovení nedojde, lze certifikát obnovit ručně pomocí uživatelského rozhraní (UI) Unisphere nebo rozhraní příkazového řádku Unity (CLI).
Obnovení certifikátu pomocí uživatelského rozhraní Unisphere
- V nástroji Unisphere přejděte do složky:
Settings → Management → Unisphere IP Address - Změňte název hostitele systému na dočasný název a klikněte na tlačítko Použít.
- Počkejte na dokončení operace a opětovné zpřístupnění nástroje Unisphere.
- Nový certifikát SSL se vygeneruje pomocí dočasného názvu hostitele.
- Znovu se přihlaste do Unisphere.
- Změňte název hostitele zpět na původní hodnotu a klikněte na tlačítko Použít.
- Po dokončení operace Unity vygeneruje nový certifikát SSL obsahující původní název hostitele a aktualizovaná data platnosti.
Obnovení certifikátu pomocí rozhraní příkazového řádku Unity
Než budete pokračovat, zaznamenejte si následující informace ze softwaru Unisphere:
- IP adresa pro správu
- Maska podsítě
- Výchozí brána
- Název hostitele systému
Pokud chcete zachovat stávající IP adresu pro správu, je nutné proces obnovení provést dvakrát:
- Nejprve přiřaďte dočasný název hostitele.
- Poté obnovte původní název hostitele.
Krok 1: Změna názvu hostitele na dočasnou hodnotu
Přihlaste se k účtu služby Unity pomocí SSH a spusťte příkaz:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA je dočasný název hostitele, který se liší od aktuálního názvu systému.
Krok 2: Obnovení původního názvu hostitele
Po dokončení první operace spusťte:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname je původní název hostitele systému.
Úspěšné spuštění aktualizuje název hostitele a spustí regeneraci certifikátu SSL pro správu.
Příklad úspěšné změny názvu hostitele:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Odstraňování problémů
Automatické a ruční obnovení certifikátu může selhat, pokud existuje následující soubor:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Ověřte jeho přítomnost spuštěním:
ls -al /EMC/backend/CEM/ssl/
Pokud .doNotGenerateCert , generování certifikátu je zablokováno.
Příklad:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Řešení
V případě, že .doNotGenerateCert , obraťte se na technickou podporu společnosti Dell a odkažte se na ID tohoto článku. Podpora může pomoci s přejmenováním souboru, aby bylo možné úspěšně dokončit ruční obnovení certifikátu SSL.
その他の情報
Průvodce konfigurací zabezpečení řady Dell Unity 5.5.3 (vyžaduje přihlášení jako registrovaný uživatel podpory Dell)
[Převzato ze strany: 37 výše uvedeného dokumentu]
Úložný systém při první inicializaci automaticky vygeneruje certifikát podepsaný držitelem. Certifikát je zachován v paměti NVRAM i v backendové jednotce LUN. Později jej úložný systém zobrazí klientovi, když se klient pokusí připojit k úložnému systému prostřednictvím portu pro správu.
Platnost certifikátu je nastavena tak, aby vypršela po 3 letech. Úložný systém však certifikát znovu vygeneruje jeden měsíc před datem vypršení platnosti. Nový certifikát můžete nahrát také pomocí příkazu
svc_custom_cert service. Tento příkaz nainstaluje zadaný certifikát SSL doPEMpro použití s rozhraním pro správu Unisphere. Další informace o tomto servisním příkazu naleznete v dokumentu Technické poznámky k servisním příkazům. Certifikát nelze zobrazit prostřednictvím rozhraní Unisphere nebo rozhraní příkazového řádku Unisphere. Certifikát však můžete zobrazit prostřednictvím klienta prohlížeče nebo webového nástroje, který se pokusí připojit k portu pro správu.
Poznámka: Když je pole vFIPSa certifikát je generován mimo pole, kromě toho, že certifikát je vPEMmusí být soukromý klíč ve formátuPKCS#1Formát. K tomuto převodu můžete použít příkaz OpenSSL. Jakmile se.cera.pksoubory, je tento dodatečný krok vyžadován, pokud je certifikát použit v poli vFIPSrežim.
Některé organizace používají řetězení certifikátů certifikační autority ke zvýšení zabezpečení. Zřetězení certifikátů propojuje dva nebo více certifikátů certifikační autority. Certifikát primární certifikační autority je kořenový certifikát na konci řetězu certifikátů certifikační autority. Vzhledem k tomu, že systém potřebuje k ověření pravosti přijatého certifikátu úplný řetězec certifikátů, zeptejte se správce adresářového serveru, zda se používá řetězení certifikátů. Pokud ano, musíte zřetězit všechny příslušné certifikáty do jednoho souboru a nahrát tuto verzi. Certifikát musí být v
PEM/Base64 encoded formata použijte příponu.cer.
Jak zkontrolovat datum vypršení platnosti certifikátu SSL
Datum konce platnosti certifikátu lze zkontrolovat příkazem:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Zkontrolujte "Valid to" datum. Zobrazuje datum vypršení platnosti certifikátu SSL.
Datum vypršení platnosti certifikátu lze ověřit také prostřednictvím webového prohlížeče.
- Otevřete Google Chrome a přejděte do uživatelského rozhraní Unisphere.
- Otevřete nabídku Chrome a vyberte Další nástroje > Nástroje pro vývojáře.
- Vyberte kartu Zabezpečení a klikněte na možnost Zobrazit certifikát.
- Zkontrolujte pole Platnost do a určete datum vypršení platnosti certifikátu.