Dell Unity: como renovar manualmente um certificado SSL de gerenciamento do Unity
概要: Este artigo explica como renovar manualmente o certificado SSL de gerenciamento do Unity quando o certificado existente estiver próximo da expiração ou já tiver expirado. Ele fornece as etapas necessárias para gerar, instalar e verificar um novo certificado de gerenciamento para manter o acesso seguro às interfaces de gerenciamento do Unity e evitar advertências ou problemas de conectividade relacionados ao certificado. ...
手順
O certificado SSL de gerenciamento do Unity é gerado automaticamente durante a configuração inicial do sistema e normalmente é renovado automaticamente antes de expirar. Se a renovação automática não ocorrer, o certificado poderá ser renovado manualmente usando a interface do usuário (IU) do Unisphere ou a interface de linha de comando (CLI) do Unity.
Renovando o certificado usando a interface do usuário do Unisphere
- No Unisphere, acesse:
Configurações → gerenciamento → endereço IP do Unisphere - Modifique o hostname do sistema para um nome temporário e clique em Apply.
- Aguarde até que a operação seja concluída e que o Unisphere fique disponível novamente.
- Um novo certificado SSL é gerado usando o hostname temporário.
- Faça log-in novamente no Unisphere.
- Altere o nome do host de volta para seu valor original e clique em Apply.
- Depois que a operação for concluída, o Unity gerará um novo certificado SSL contendo o nome do host original e as datas de validade atualizadas.
Renovando o certificado usando a CLI do Unity
Antes de continuar, registre as seguintes informações do Unisphere:
- Endereços IP de gerenciamento
- Máscara de sub-rede
- Gateway padrão
- Nome de host do sistema
Para preservar o endereço IP de gerenciamento existente, o processo de renovação deve ser realizado duas vezes:
- Primeiro, atribua um nome de host temporário.
- Em seguida, restaure o nome de host original.
Etapa 1: alterar o nome do host para um valor temporário
Faça log-in na conta de serviço do Unity usando SSH e execute:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA é um nome de host temporário diferente do nome do sistema atual.
Etapa 2: restaurar o nome de host original
Depois que a primeira operação for concluída, execute:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname é o nome de host original do sistema.
Uma execução bem-sucedida atualiza o nome do host e aciona a regeneração do certificado SSL de gerenciamento.
Exemplo de uma alteração bem-sucedida do nome do host:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Solução de problemas
A renovação automática e manual de certificados poderá falhar se o seguinte arquivo existir:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Verifique sua presença executando:
ls -al /EMC/backend/CEM/ssl/
Se .doNotGenerateCert está presente, a geração de certificado está bloqueada.
Exemplo:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Resolução
Se a .doNotGenerateCert deve existir. Entre em contato com o suporte técnico da Dell e consulte o ID deste artigo. O suporte pode ajudar com a renomeação do arquivo para que a renovação manual do certificado SSL possa ser concluída com sucesso.
その他の情報
Guia de configuração de segurança da família Dell Unity 5.5.3 (requer login como usuário registrado no Suporte Dell)
[Extraído da página: 37 do documento acima]
O sistema de armazenamento gera automaticamente um certificado autoassinado durante sua primeira inicialização. O certificado é preservado na NVRAM e na LUN de back-end. Posteriormente, o sistema de armazenamento o apresenta a um client quando o client tenta se conectar ao sistema de armazenamento por meio da porta de gerenciamento.
O certificado está definido para expirar após 3 anos; No entanto, o sistema de armazenamento gera novamente o certificado um mês antes de sua data de expiração. Além disso, você pode carregar um novo certificado usando o
svc_custom_cert service. Este comando instala um certificado SSL especificado noPEMformato para uso com a interface de gerenciamento do Unisphere. Para obter mais informações sobre esse comando de serviço, consulte o documento Notas técnicas de comandos de serviço. Não é possível visualizar o certificado por meio do Unisphere ou da CLI do Unisphere; No entanto, você pode visualizar o certificado por meio de um cliente de navegador ou de uma ferramenta da Web que tenta se conectar à porta de gerenciamento.
Nota: Quando o array está noFIPSe um certificado é gerado fora do array, além do certificado estar emPEMformato, a chave privada precisa estar emPKCS#1Formato. Você pode usar um comando OpenSSL para fazer essa conversão. Uma vez que o.cere.pkarquivos são gerados, essa etapa adicional é necessária quando o certificado é usado em um array noFIPSou o modo de desempenho.
Para aumentar a segurança, algumas organizações usam a cadeia de certificados da CA. A cadeia de certificados vincula dois ou mais certificados da CA juntos. O certificado da CA principal é o certificado raiz no final da cadeia de certificados de CA. Como o sistema precisa de toda a cadeia de certificados para verificar a autenticidade de um certificado recebido, pergunte ao administrador do servidor de diretórios se é usado o encadeamento de certificados. Em caso afirmativo, você deve concatenar todos os certificados relevantes em um só arquivo e fazer upload dessa versão. O certificado deve estar em
PEM/Base64 encoded formate use o sufixo.cer.
Como verificar a data de expiração do certificado SSL
A data de validade do certificado pode ser verificada por comando:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Verifique"Valid to" data. Ele mostra a data de vencimento do certificado SSL.
A data de expiração do certificado também pode ser verificada por meio de um navegador da Web.
- Abra o Google Chrome e acesse a interface do usuário do Unisphere.
- Abra o menu do Chrome e selecione Mais ferramentas > Ferramentas para desenvolvedores.
- Selecione a guia Segurança e clique em Exibir Certificado.
- Analise o campo Valid until para determinar a data de expiração do certificado.