Dell Unity: Unity 관리 SSL 인증서를 수동으로 갱신하는 방법
概要: 이 문서에서는 기존 인증서가 거의 만료되었거나 이미 만료된 경우 Unity 관리 SSL 인증서를 수동으로 갱신하는 방법에 대해 설명합니다. Unity 관리 인터페이스에 대한 보안 액세스를 유지하고 인증서 관련 경고 또는 연결 문제를 방지하기 위해 새 관리 인증서를 생성, 설치 및 확인하는 데 필요한 단계를 제공합니다.
手順
Unity 관리 SSL 인증서는 초기 시스템 구성 중에 자동으로 생성되며 일반적으로 만료되기 전에 자동으로 갱신됩니다. 자동 갱신이 수행되지 않으면 Unisphere UI(User Interface) 또는 Unity CLI(Command Line Interface)를 사용하여 인증서를 수동으로 갱신할 수 있습니다.
Unisphere UI를 사용하여 인증서 갱신
- Unisphere에서 설정 → 관리 → Unisphere IP 주소로 이동합니다
. - 시스템 호스트 이름을 임시 이름으로 수정하고 Apply를 클릭합니다.
- 작업이 완료되고 Unisphere를 다시 사용할 수 있게 될 때까지 기다립니다.
- 새 SSL 인증서는 임시 호스트 이름을 사용하여 생성됩니다.
- Unisphere에 다시 로그인합니다.
- 호스트 이름을 원래 값으로 다시 변경하고 Apply를 클릭합니다.
- 작업이 완료되면 Unity는 원래 호스트 이름과 업데이트된 유효 날짜가 포함된 새 SSL 인증서를 생성합니다.
Unity CLI를 사용하여 인증서 갱신
계속하기 전에 Unisphere에서 다음 정보를 기록합니다.
- 관리 IP 주소
- 서브넷 마스크
- 기본 게이트웨이
- 시스템 호스트 이름
기존 관리 IP 주소를 보존하려면 갱신 프로세스를 두 번 수행해야 합니다.
- 먼저 임시 호스트 이름을 할당합니다.
- 그런 다음 원래 호스트 이름을 복원합니다.
1단계: 호스트 이름을 임시 값으로 변경
SSH를 사용하여 Unity 서비스 계정에 로그인하고 다음을 실행합니다.
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA 은(는) 현재 시스템 이름과 다른 임시 호스트 이름입니다.
2단계: 원래 호스트 이름 복원
첫 번째 작업이 완료된 후 다음을 실행합니다.
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname 은 원래 시스템 호스트 이름입니다.
성공적으로 실행하면 호스트 이름이 업데이트되고 관리 SSL 인증서의 재생성이 트리거됩니다.
성공한 호스트 이름 변경의 예:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
문제 해결
다음 파일이 있는 경우 자동 및 수동 인증서 갱신이 실패할 수 있습니다.
/EMC/backend/CEM/ssl/.doNotGenerateCert
다음을 실행하여 존재 여부를 확인합니다.
ls -al /EMC/backend/CEM/ssl/
만약 .doNotGenerateCert 이 있는 경우 인증서 생성이 차단됩니다.
예:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
해상도
이러한 볼륨을 .doNotGenerateCert 파일이 있습니다. Dell 기술 지원 부서에 문의하고 이 문서 ID를 참조하십시오. 지원 팀은 수동 SSL 인증서 갱신을 성공적으로 완료할 수 있도록 파일 이름을 변경하는 데 도움을 줄 수 있습니다.
その他の情報
Dell Unity 제품군 보안 구성 가이드 5.5.3(등록된 Dell 지원 사용자로 로그인 필요)
[페이지에서 발췌 : 위 문서의 37]
스토리지 시스템은 처음 초기화할 때 자체 서명된 인증서를 자동으로 생성합니다. 인증서는 NVRAM과 백엔드 LUN 모두에 보존됩니다. 나중에 스토리지 시스템은 클라이언트가 관리 포트를 통해 스토리지 시스템에 연결을 시도할 때 이를 클라이언트에 제공합니다.
인증서는 3년 후에 만료되도록 설정됩니다. 그러나 스토리지 시스템은 만료 날짜 한 달 전에 인증서를 다시 생성합니다. 또한 다음을 사용하여 새 인증서를 업로드할 수 있습니다.
svc_custom_cert service명령을 사용합니다. 이 명령은 지정된 SSL 인증서를PEMUnisphere 관리 인터페이스에서 사용할 수 있는 형식입니다. 이 서비스 명령에 대한 자세한 내용은 서비스 명령 기술 노트 문서를 참조하십시오. Unisphere 또는 Unisphere CLI를 통해 인증서를 볼 수 없습니다. 그러나 관리 포트에 연결을 시도하는 브라우저 클라이언트 또는 웹 툴을 통해 인증서를 볼 수 있습니다.
참고: 어레이가 에 있을 때FIPS모드이고 인증서가 어레이 외부에서 생성되며 인증서는PEM형식, 개인 키는PKCS#1형식. OpenSSL 명령을 사용하여 이 변환을 수행할 수 있습니다. 일단.cer및.pk파일이 생성되면 인증서가 의 어레이에서 사용될 때 이 추가 단계가 필요합니다.FIPS포함됩니다.
보안을 강화하기 위해 일부 조직에서는 CA 인증서 체인을 사용합니다. 인증서 체인은 두 개 이상의 CA 인증서를 연결합니다. 기본 CA 인증서는 CA 인증서 체인의 끝에 있는 루트 인증서입니다. 수신된 인증서의 신뢰성을 확인하려면 시스템에 전체 인증서 체인이 필요하므로 디렉토리 서버 관리자에게 인증서 체인이 사용되는지 문의하십시오. 인증서 체인이 사용되는 경우 모든 관련 인증서를 단일 파일로 연결하여 해당 버전을 업로드해야 합니다. 인증서는 다음 위치에 있어야 합니다.
PEM/Base64 encoded format접미사 사용.cer.
SSL 인증서 만료일을 확인하는 방법
인증서 만료 날짜는 다음 명령으로 확인할 수 있습니다.
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
"를 선택하십시오.Valid to" 날짜. SSL 인증서의 만료 날짜를 보여줍니다.
인증서 만료 날짜는 웹 브라우저를 통해서도 확인할 수 있습니다.
- Google Chrome을 열고 Unisphere UI에 액세스합니다.
- Chrome 메뉴를 열고 More ToolsDeveloper > Tools를 선택합니다.
- 보안 탭을 선택하고 인증서 보기를 클릭합니다.
- Valid until 필드를 검토하여 인증서 만료 날짜를 확인합니다.