Dell Unity: як вручну поновити SSL-сертифікат управління Unity
概要: У цій статті пояснюється, як вручну поновити SSL-сертифікат Unity Management, коли існуючий сертифікат наближається до закінчення або вже закінчився. Він забезпечує кроки, необхідні для генерації, встановлення та перевірки нового сертифіката управління, щоб підтримувати безпечний доступ до інтерфейсів управління Unity та запобігати попередженням, пов'язаним із сертифікатами чи проблемами підключення. ...
手順
SSL-сертифікат Unity Management генерується автоматично під час початкової конфігурації системи і зазвичай оновлюється автоматично до закінчення терміну дії. Якщо автоматичне оновлення не відбувається, сертифікат можна поновити вручну, використовуючи інтерфейс користувача Unisphere (UI) або командний рядок Unity (CLI).
Поновлення сертифіката за допомогою інтерфейсу Unisphere
- У Unisphere перейдіть на:
Налаштування → управління → IP-адреса Unisphere - Змініть ім'я хоста системи на тимчасове ім'я і натисніть Apply.
- Чекайте, поки операція завершиться і Unisphere знову стане доступним.
- Новий SSL-сертифікат генерується за допомогою тимчасового імені хоста.
- Знову увійти в Unisphere.
- Поверніть ім'я хоста до початкового значення і натисніть Apply.
- Після завершення операції Unity генерує новий SSL-сертифікат із оригінальним ім'ям хоста та оновленими датами дійсності.
Поновлення сертифіката за допомогою Unity CLI
Перед тим, як продовжити, зафіксуйте наступну інформацію з Unisphere:
- IP-адреса керування
- Маска підмережі
- Стандартний шлюз
- Ім'я хоста системи
Для збереження існуючої IP-адреси управління процес поновлення потрібно виконати двічі:
- Спочатку призначте тимчасове ім'я господаря.
- Потім відновіть оригінальне ім'я хоста.
Крок 1: Змініть ім'я хоста на тимчасове значення
Увійдіть до облікового запису Unity через SSH і запустіть:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA — це тимчасове ім'я хоста, яке відрізняється від поточної назви системи.
Крок 2: Відновити оригінальне ім'я хоста
Після завершення першої операції запускайте:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname — це оригінальна назва хоста системи.
Успішне виконання оновлює ім'я хоста і запускає відновлення SSL-сертифіката управління.
Приклад успішної зміни імені хоста:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Пошук і виправлення несправностей
Автоматичне та ручне поновлення сертифіката може не відбутися, якщо існує наступний файл:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Перевірте його наявність, запустивши:
ls -al /EMC/backend/CEM/ssl/
Якщо .doNotGenerateCert присутня, генерація сертифікатів блокується.
Приклад:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Роздільна здатність
Якщо .doNotGenerateCert якщо існує, зверніться до технічної підтримки Dell і перегляньте цей ідентифікатор статті. Підтримка може допомогти з перейменуванням файлу, щоб ручне оновлення SSL-сертифіката було успішним.
その他の情報
Керівництво з конфігурації безпеки сімейства Dell Unity 5.5.3 (потрібен ухід як зареєстрований користувач Dell Support)
[Витягнуто зі сторінки: 37 наведеного вище документа]
Система зберігання автоматично генерує самопідписаний сертифікат під час першої ініціалізації. Сертифікат зберігається як у NVRAM, так і на бекенд-LUN. Пізніше система зберігання показує його клієнту, коли клієнт намагається підключитися до системи зберігання через порт керування.
Термін дії сертифіката закінчується через 3 роки; однак система зберігання відновлює сертифікат за місяць до дати його закінчення. Також ви можете завантажити новий сертифікат, використовуючи
svc_custom_cert serviceКомандування. Ця команда встановлює заданий SSL-сертифікат уPEMдля використання з інтерфейсом управління Unisphere. Для отримання додаткової інформації про цю службову команду дивіться документ Service Commands Technical Notes. Ви не можете переглянути сертифікат через Unisphere або Unisphere CLI; Однак ви можете переглядати сертифікат через клієнт браузера або веб-інструмент, який намагається підключитися до порту керування.
Примітка: Коли масив уFIPSmode та сертифікат генерується поза масивом, крім того, що сертифікат знаходиться уPEMУ форматі, приватний ключ має бути уPKCS#1формат. Ви можете використати команду OpenSSL для цієї конверсії. Як тільки.cerта.pkГенеруються файли, цей додатковий крок необхідний, коли сертифікат використовується на масиві вFIPSабо режим продуктивності.
Для підвищення безпеки деякі організації використовують ланцюжки сертифікатів CA. Поєднання сертифікатів з'єднує два або більше сертифікатів CA разом. Основний сертифікат CA — це кореневий сертифікат у кінці ланцюга сертифікатів CA. Оскільки системі потрібен повний ланцюжок сертифікатів для перевірки автентичності отриманого сертифіката, запитайте адміністратора сервера каталогу, чи використовується ланцюжок сертифікатів. Якщо так, потрібно об'єднати всі відповідні сертифікати в один файл і завантажити цю версію. Сертифікат має бути в
PEM/Base64 encoded formatі використовуйте суфікс.cer.
Як перевірити дату закінчення SSL-сертифіката
Дату закінчення сертифіката можна перевірити за командою:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Перевірка "Valid to" побачення. Він показує дату закінчення SSL-сертифіката.
Дату закінчення сертифіката також можна перевірити через веб-браузер.
- Відкрийте Google Chrome і отримайте доступ до інтерфейсу Unisphere.
- Відкрийте меню Chrome і виберіть Більше інструментів > розробника.
- Виберіть вкладку « Безпека » та натисніть «Переглянути сертифікат».
- Перегляньте поле «Дійсний до », щоб визначити дату закінчення сертифіката.