Dell Unity: Slik fornyer du et SSL-sertifikat for Unity Management manuelt
概要: Denne artikkelen forklarer hvordan du fornyer SSL-sertifikatet for Unity Management manuelt når det eksisterende sertifikatet nærmer seg utløpsdatoen eller allerede er utløpt. Den inneholder trinnene som kreves for å generere, installere og verifisere et nytt administrasjonssertifikat for å opprettholde sikker tilgang til Unity-administrasjonsgrensesnittene og forhindre sertifikatrelaterte advarsler eller tilkoblingsproblemer. ...
手順
SSL-sertifikatet for Unity Management genereres automatisk under første systemkonfigurasjon og fornyes vanligvis automatisk før det utløper. Hvis automatisk fornyelse ikke forekommer, kan sertifikatet fornyes manuelt enten ved hjelp av Unisphere-brukergrensesnittet (UI) eller Unity-kommandolinjegrensesnittet (CLI).
Fornye sertifikatet ved hjelp av Unisphere UI
- I Unisphere går du til:
Settings → Management → Unisphere IP Address - Endre systemvertsnavnet til et midlertidig navn, og klikk på Bruk.
- Vent til operasjonen er fullført og til Unisphere blir tilgjengelig igjen.
- Et nytt SSL-sertifikat genereres ved hjelp av det midlertidige vertsnavnet.
- Logg på Unisphere igjen.
- Endre vertsnavnet tilbake til den opprinnelige verdien, og klikk på Bruk.
- Når operasjonen er fullført, genererer Unity et nytt SSL-sertifikat som inneholder det opprinnelige vertsnavnet og oppdaterte gyldighetsdatoer.
Fornye sertifikatet ved hjelp av Unity CLI
Før du fortsetter, må du registrere følgende informasjon fra Unisphere:
- Administrasjons-IP-adresse
- Nettverksmaske
- Standard gateway
- Systemvertsnavn
For å beholde den eksisterende IP-adressen for administrasjon må fornyelsesprosessen utføres to ganger:
- Først tilordner du et midlertidig vertsnavn.
- Deretter gjenoppretter du det opprinnelige vertsnavnet.
Trinn 1: Endre vertsnavnet til en midlertidig verdi
Logg på Unity-tjenestekontoen med SSH og kjør:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA er et midlertidig vertsnavn som er forskjellig fra det gjeldende systemnavnet.
Trinn 2: Gjenopprett det opprinnelige vertsnavnet
Når den første handlingen er fullført, kjører du følgende:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname er det opprinnelige vertsnavnet for systemet.
En vellykket utførelse oppdaterer vertsnavnet og utløser regenerering av SSL-sertifikatet for administrasjon.
Eksempel på en vellykket endring av vertsnavn:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Feilsøking
Automatisk og manuell sertifikatfornyelse kan mislykkes hvis følgende fil finnes:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Bekreft tilstedeværelsen ved å kjøre:
ls -al /EMC/backend/CEM/ssl/
Hvis .doNotGenerateCert er til stede, er sertifikatgenerering blokkert.
Eksempel:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Oppløsning
Hvis .doNotGenerateCert filen finnes, kontakter du teknisk støtte hos Dell og referer til denne artikkel-ID-en. Støtte kan hjelpe deg med å gi nytt navn til filen slik at manuell SSL-sertifikatfornyelse kan fullføres.
その他の情報
Konfigurasjonsveiledning for sikkerhet i Dell Unity-serien 5.5.3 (krever pålogging som registrert Dell-kundestøttebruker)
[Hentet fra siden: 37 av ovennevnte dokument]
Lagringssystemet genererer automatisk et selvsignert sertifikat ved første initialisering. Sertifikatet beholdes både i NVRAM og på backend LUN. Senere presenterer lagringssystemet det til en klient når klienten forsøker å koble til lagringssystemet via administrasjonsporten.
Sertifikatet er satt til å utløpe etter 3 år; Lagringssystemet genererer imidlertid sertifikatet på nytt én måned før utløpsdatoen. Du kan også laste opp et nytt sertifikat ved hjelp av
svc_custom_cert serviceKommandoen. Denne kommandoen installerer et spesifisert SSL-sertifikat iPEM-format for bruk med Unisphere-administrasjonsgrensesnittet. Hvis du vil ha mer informasjon om denne servicekommandoen, kan du se dokumentet med tekniske merknader for servicekommandoer. Du kan ikke vise sertifikatet via Unisphere eller Unisphere CLI. Du kan imidlertid vise sertifikatet via en webleserklient eller et webverktøy som prøver å koble til administrasjonsporten.
Merk: Når matrisen er iFIPS-modus og et sertifikat genereres utenfor matrisen, i tillegg til at sertifikatet er iPEM-format, må den private nøkkelen være iPKCS#1Format. Du kan bruke en OpenSSL-kommando for å gjøre denne konverteringen. Når.cerog.pk-filer genereres, kreves dette tilleggstrinnet når sertifikatet brukes på en matrise.FIPSytelsesmodus.
For å øke sikkerheten bruker noen organisasjoner CA-sertifikatkjede. Sertifikatsammenkjeding kobler to eller flere CA-sertifikater sammen. Det primære CA-sertifikatet er rotsertifikatet på slutten av CA-sertifikatkjeden. Siden systemet trenger hele sertifikatkjeden for å bekrefte ektheten til et sertifikat som mottas, spør du katalogserveradministratoren om sertifikatkjeding brukes. I så fall må du slå sammen alle relevante sertifikater til én enkelt fil og laste opp den versjonen. Sertifikatet må være i
PEM/Base64 encoded formatog bruk suffikset.cer.
Hvordan sjekke SSL-sertifikatets utløpsdato
Sertifikatets utløpsdato kan kontrolleres med kommando:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Sjekk "Valid to" dato. Det viser utløpsdatoen for SSL Sertifikatet.
Sertifikatets utløpsdato kan også verifiseres gjennom en nettleser.
- Åpne Google Chrome og få tilgang til Unisphere-brukergrensesnittet.
- Åpne Chrome-menyen og velg Flere verktøy > Utviklerverktøy.
- Velg kategorien Sikkerhet , og klikk Vis sertifikat.
- Se gjennom Gyldig til-feltet for å finne utløpsdatoen for sertifikatet.