Dell Unity: Cómo renovar manualmente un certificado SSL de administración de Unity
概要: En este artículo, se explica cómo renovar manualmente el certificado SSL de administración de Unity cuando el certificado existente está a punto de vencer o ya venció. Proporciona los pasos necesarios para generar, instalar y verificar un nuevo certificado de administración a fin de mantener el acceso seguro a las interfaces de administración de Unity y evitar advertencias o problemas de conectividad relacionados con el certificado. ...
手順
El certificado SSL de administración de Unity se genera automáticamente durante la configuración inicial del sistema y normalmente se renueva automáticamente antes de que venza. Si no se produce la renovación automática, el certificado se puede renovar manualmente mediante la interfaz de usuario (UI) de Unisphere o la interfaz de línea de comandos (CLI) de Unity.
Renovación del certificado mediante la interfaz de usuario de Unisphere
- En Unisphere, vaya a:
Configuración → Administración → Dirección IP de Unisphere - Modifique el nombre de host del sistema a un nombre temporal y haga clic en Aplicar.
- Espere hasta que la operación finalice y hasta que Unisphere vuelva a estar disponible.
- Se genera un nuevo certificado SSL con el nombre de host temporal.
- Vuelva a iniciar sesión en Unisphere.
- Vuelva a cambiar el nombre de host a su valor original y haga clic en Apply.
- Una vez finalizada la operación, Unity genera un nuevo certificado SSL que contiene el nombre de host original y las fechas de validez actualizadas.
Renovación del certificado mediante la CLI de Unity
Antes de continuar, registre la siguiente información de Unisphere:
- Dirección IP de administración
- Máscara de subred de respaldo
- Gateway predeterminado
- Nombre de host del sistema
Para conservar la dirección IP de administración existente, el proceso de renovación se debe realizar dos veces:
- En primer lugar, asigne un nombre de host temporal.
- Luego, restaure el nombre de host original.
Paso 1: Cambiar el nombre de host a un valor temporal
Inicie sesión en la cuenta de servicio de Unity mediante SSH y ejecute:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA es un nombre de host temporal que difiere del nombre actual del sistema.
Paso 2: Restaurar el nombre de host original
Una vez completada la primera operación, ejecute lo siguiente:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname es el nombre de host original del sistema.
Si se ejecuta correctamente, se actualiza el nombre de host y se activa la regeneración del certificado SSL de administración.
Ejemplo de un cambio de nombre de host correcto:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Solución de problemas
La renovación automática y manual de certificados puede fallar si existe el siguiente archivo:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Ejecute lo siguiente para verificar su presencia:
ls -al /EMC/backend/CEM/ssl/
Si .doNotGenerateCert está presente, la generación de certificados está bloqueada.
Ejemplo:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Solución
Si la solicitud en .doNotGenerateCert El archivo existe, comuníquese con el soporte técnico de Dell y haga referencia a este ID de artículo. El soporte puede ayudar a cambiar el nombre del archivo para que la renovación manual del certificado SSL se pueda completar correctamente.
その他の情報
Guía de configuración de seguridad de la familia Dell Unity 5.5.3 (requiere inicio de sesión como usuario registrado de soporte de Dell)
[Extraído de la página 37 del documento anterior]
El sistema de almacenamiento genera automáticamente un certificado autofirmado durante su primera inicialización. El certificado se conserva en la NVRAM y en el LUN de back-end. Posteriormente, el sistema de almacenamiento lo presenta a un cliente cuando este intenta conectarse al sistema de almacenamiento por medio del puerto de administración.
El certificado caducará después de 3 años; Sin embargo, el sistema de almacenamiento vuelve a generar el certificado un mes antes de su fecha de vencimiento. Además, puede cargar un nuevo certificado mediante el comando
svc_custom_cert service. Este comando instala un certificado SSL especificado enPEMformato para usar con la interfaz de administración de Unisphere. Para obtener más información sobre este comando de servicio, consulte el documento Notas técnicas de los comandos de servicio. El certificado no se puede ver con Unisphere ni con la CLI de Unisphere; no obstante, se puede ver por medio de un cliente de navegador o una herramienta web que intenta conectarse al puerto de administración.
Nota: Cuando el arreglo está enFIPSy se genera un certificado fuera del arreglo, además de que el certificado esté enPEMformato, la clave privada debe estar enPKCS#1formato. Puede utilizar un comando OpenSSL para realizar esta conversión. Una vez que el.cery.pkarchivos, este paso adicional es necesario cuando el certificado se utiliza en un arreglo enFIPSde rendimiento.
Para aumentar la seguridad, algunas organizaciones usan encadenamiento de certificados de CA. El encadenamiento de certificados enlaza dos o más certificados de CA. El certificado de CA primario es el certificado raíz al final de la cadena de certificados de CA. Dado que el sistema necesita la cadena de certificados completa para verificar la autenticidad de un certificado que se recibe, pregunte al administrador del servidor de directorios si está en uso el encadenamiento de certificados. Si es así, debe concatenar todos los certificados pertinentes en un único archivo y cargar esa versión. El certificado debe estar en
PEM/Base64 encoded formaty usa el sufijo.cer.
Cómo comprobar la fecha de caducidad del certificado SSL
La fecha de vencimiento del certificado se puede comprobar mediante el siguiente comando:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Marque "Valid to" fecha. Muestra la fecha de vencimiento del certificado SSL.
La fecha de vencimiento del certificado también se puede verificar a través de un navegador web.
- Abra Google Chrome y acceda a la interfaz de usuario de Unisphere.
- Abra el menú de Chrome y seleccione Más herramientas > Herramientas para desarrolladores.
- Seleccione la pestaña Seguridad y haga clic en Ver certificado.
- Revise el campo Válido hasta para determinar la fecha de vencimiento del certificado.