Dell Unity: Sådan fornyer du manuelt et Unity Management SSL-certifikat

概要: Denne artikel beskriver, hvordan du manuelt fornyer Unity Management SSL-certifikatet, når det eksisterende certifikat nærmer sig udløb eller allerede er udløbet. Den indeholder de trin, der er nødvendige for at generere, installere og verificere et nyt administrationscertifikat for at opretholde sikker adgang til Unity-administrationsgrænsefladerne og forhindre certifikatrelaterede advarsler eller forbindelsesproblemer. ...

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

手順

Unity Management SSL-certifikatet genereres automatisk under den indledende systemkonfiguration og fornyes normalt automatisk, før det udløber. Hvis der ikke sker automatisk fornyelse, kan certifikatet fornyes manuelt ved hjælp af enten Unisphere-brugergrænsefladen (UI) eller Unity-kommandolinjegrænsefladen (CLI).

Fornyelse af certifikatet ved hjælp af Unisphere-brugergrænsefladen

  1. I Unisphere skal du gå til:
    Indstillinger → administration → Unisphere IP-adresse
  2. Rediger systemets værtsnavn til et midlertidigt navn, og klik på Anvend.
    • Vent på, at handlingen er fuldført, og på, at Unisphere bliver tilgængelig igen.
    • Et nyt SSL-certifikat genereres ved hjælp af det midlertidige værtsnavn.
  3. Log ind på Unisphere.
  4. Skift værtsnavnet tilbage til dets oprindelige værdi, og klik på Anvend.
    • Når handlingen er gennemført, genererer Unity et nyt SSL-certifikat, der indeholder det oprindelige værtsnavn og opdaterede gyldighedsdatoer.
UI-genereret certifikat (Unity Unisphere)

Fornyelse af certifikatet ved hjælp af Unity CLI 

Før du fortsætter, skal du registrere følgende oplysninger fra Unisphere:

  • Administrations-IP-adresse
  • Undernetmaske
  • Standardgateway
  • Systemværtsnavn

For at bevare den eksisterende administrations-IP-adresse skal fornyelsesprocessen udføres to gange:

  • Først skal du tildele et midlertidigt værtsnavn.
  • Gendan derefter det oprindelige værtsnavn.


Trin 1: Skift værtsnavnet til en midlertidig værdi

Log på Unity-tjenestekontoen ved hjælp af SSH, og kør:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
Hvor hostnameA er et midlertidigt værtsnavn, der adskiller sig fra det aktuelle systemnavn.

Trin 2: Gendan det oprindelige værtsnavn

Når den første handling er fuldført, skal du køre:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
Hvor hostname er det oprindelige systems værtsnavn.

 

Bemærk: IP-adressen, undernetmasken og gatewayværdierne skal forblive omsluttet af anførselstegn.

 

En vellykket udførelse opdaterer værtsnavnet og udløser regenerering af administrationens SSL-certifikat.

Eksempel på en vellykket ændring af værtsnavn:

09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195
Attempting to set friendly name to <vm3195>
Successfully set friendly name to <vm3195>
Validating address IP.xxx.xx.xxx format ... Pass
Validating address GW.xxx.xx.xxx format ... Pass
Validating address Subnet.xxx.xx.xxx format ... Pass
Validating IP and Gateway subnet with Mask ... Pass
Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>

Fejlfinding

Automatisk og manuel certifikatfornyelse kan mislykkes, hvis følgende fil findes:

/EMC/backend/CEM/ssl/.doNotGenerateCert

Bekræft dens tilstedeværelse ved at køre:

ls -al /EMC/backend/CEM/ssl/

Hvis .doNotGenerateCert er til stede, er certifikatgenerering blokeret.

Eksempel:

18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x  2 root root 4096 Jul  2 19:13 .
drwxr-xr-x 21 ecom c4   4096 Apr  9 01:21 ..
-rw-r--r--  1 root root   90 May 31  2025 .doNotGenerateCert     <<<<<<<<<<<<<<<<<<<
-r--r--r--  1 root root 9060 Jul  2 19:13 cert_config.cnf
-rw-r--r--  1 root root   41 Apr  3  2025 currentSubjectAltName
-rw-------  1 ecom root 1679 May 31  2025 ecomtls-rsa.pk
-rw-r--r--  1 root root 2086 May 31  2025 ecomtls.crt
-rw-------  1 root root 1704 May 31  2025 ecomtls.pk

Opløsning

Hvis ikonet .doNotGenerateCert filen, skal du kontakte Dells tekniske support og se denne artikel-id. Support kan hjælpe med at omdøbe filen, så manuel fornyelse af SSL-certifikat kan gennemføres med succes.

その他の情報

Dell Unity Family Security Configuration Guide 5.5.3 (kræver login som registreret Dell Support-bruger)

[Uddrag fra side: 37 i ovenstående dokument]

Storagesystemet genererer automatisk et selvsigneret certifikat under den første initialisering. Certifikatet bevares både i NVRAM og på backend LUN. Senere præsenterer storagesystemet det for en klient, når klienten forsøger at oprette forbindelse til storagesystemet via administrationsporten. 

Certifikatet er indstillet til at udløbe efter 3 år; Storagesystemet regenererer dog certifikatet en måned før udløbsdatoen. Du kan også overføre et nyt certifikat ved hjælp af svc_custom_cert service Kommando. Denne kommando installerer et specificeret SSL-certifikat i PEM format til brug sammen med administrationsgrænsefladen Unisphere. Du kan finde flere oplysninger om denne servicekommando i dokumentet Tekniske bemærkninger til servicekommandoer. Du kan ikke få vist certifikatet via Unisphere eller Unisphere CLI. Du kan dog få vist certifikatet via en browserklient eller et webværktøj, der forsøger at oprette forbindelse til administrationsporten.

 

Bemærk: Når systemet er i FIPS og et certifikat genereres off-array, ud over at certifikatet er i PEM format, skal den private nøgle være i PKCS#1 Format. Du kan bruge en OpenSSL-kommando til at udføre denne konvertering. Når .cer og .pk filer genereres, er dette ekstra trin påkrævet, når certifikatet bruges på et system i FIPS ydeevnetilstand.

 

For at øge sikkerheden bruger nogle organisationer CA-certifikatsammenkædning. Certifikatsammenkædning kæder to eller flere nøglecentercertifikater sammen. Det primære CA-certifikat er rodcertifikatet i slutningen af CA-certifikatkæden. Da systemet skal bruge hele certifikatkæden til at kontrollere ægtheden af et certifikat, der modtages, skal du spørge biblioteksserveradministratoren, om der bruges certifikatsammenkædning. Hvis det er tilfældet, skal du sammenkæde alle relevante certifikater i en enkelt fil og uploade den version. Certifikatet skal være i PEM/Base64 encoded format og brug suffikset .cer.

Sådan kontrolleres SSL-certifikatets udløbsdato

Certifikatets udløbsdato kan kontrolleres med kommando: 

uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show

Tjek "Valid to" dato. Det viser udløbsdatoen for SSL-certifikatet.

Certifikatets udløbsdato kan også kontrolleres via en webbrowser.

  1. Åbn Google Chrome , og få adgang til Unisphere-brugergrænsefladen.
  2. Åbn Chrome-menuen, og vælg Flere værktøjer > Udviklerværktøjer.
  3. Vælg fanen Sikkerhed , og klik på Vis certifikat.
  4. Gennemse feltet Gyldig indtil for at bestemme certifikatets udløbsdato.

対象製品

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE)

製品

Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
文書のプロパティ
文書番号: 000022509
文書の種類: How To
最終更新: 15 7月 2026
バージョン:  9
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。