Dell Unity: Sådan fornyer du manuelt et Unity Management SSL-certifikat
概要: Denne artikel beskriver, hvordan du manuelt fornyer Unity Management SSL-certifikatet, når det eksisterende certifikat nærmer sig udløb eller allerede er udløbet. Den indeholder de trin, der er nødvendige for at generere, installere og verificere et nyt administrationscertifikat for at opretholde sikker adgang til Unity-administrationsgrænsefladerne og forhindre certifikatrelaterede advarsler eller forbindelsesproblemer. ...
手順
Unity Management SSL-certifikatet genereres automatisk under den indledende systemkonfiguration og fornyes normalt automatisk, før det udløber. Hvis der ikke sker automatisk fornyelse, kan certifikatet fornyes manuelt ved hjælp af enten Unisphere-brugergrænsefladen (UI) eller Unity-kommandolinjegrænsefladen (CLI).
Fornyelse af certifikatet ved hjælp af Unisphere-brugergrænsefladen
- I Unisphere skal du gå til:
Indstillinger → administration → Unisphere IP-adresse - Rediger systemets værtsnavn til et midlertidigt navn, og klik på Anvend.
- Vent på, at handlingen er fuldført, og på, at Unisphere bliver tilgængelig igen.
- Et nyt SSL-certifikat genereres ved hjælp af det midlertidige værtsnavn.
- Log ind på Unisphere.
- Skift værtsnavnet tilbage til dets oprindelige værdi, og klik på Anvend.
- Når handlingen er gennemført, genererer Unity et nyt SSL-certifikat, der indeholder det oprindelige værtsnavn og opdaterede gyldighedsdatoer.
Fornyelse af certifikatet ved hjælp af Unity CLI
Før du fortsætter, skal du registrere følgende oplysninger fra Unisphere:
- Administrations-IP-adresse
- Undernetmaske
- Standardgateway
- Systemværtsnavn
For at bevare den eksisterende administrations-IP-adresse skal fornyelsesprocessen udføres to gange:
- Først skal du tildele et midlertidigt værtsnavn.
- Gendan derefter det oprindelige værtsnavn.
Trin 1: Skift værtsnavnet til en midlertidig værdi
Log på Unity-tjenestekontoen ved hjælp af SSH, og kør:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA er et midlertidigt værtsnavn, der adskiller sig fra det aktuelle systemnavn.
Trin 2: Gendan det oprindelige værtsnavn
Når den første handling er fuldført, skal du køre:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname er det oprindelige systems værtsnavn.
En vellykket udførelse opdaterer værtsnavnet og udløser regenerering af administrationens SSL-certifikat.
Eksempel på en vellykket ændring af værtsnavn:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Fejlfinding
Automatisk og manuel certifikatfornyelse kan mislykkes, hvis følgende fil findes:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Bekræft dens tilstedeværelse ved at køre:
ls -al /EMC/backend/CEM/ssl/
Hvis .doNotGenerateCert er til stede, er certifikatgenerering blokeret.
Eksempel:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Opløsning
Hvis ikonet .doNotGenerateCert filen, skal du kontakte Dells tekniske support og se denne artikel-id. Support kan hjælpe med at omdøbe filen, så manuel fornyelse af SSL-certifikat kan gennemføres med succes.
その他の情報
Dell Unity Family Security Configuration Guide 5.5.3 (kræver login som registreret Dell Support-bruger)
[Uddrag fra side: 37 i ovenstående dokument]
Storagesystemet genererer automatisk et selvsigneret certifikat under den første initialisering. Certifikatet bevares både i NVRAM og på backend LUN. Senere præsenterer storagesystemet det for en klient, når klienten forsøger at oprette forbindelse til storagesystemet via administrationsporten.
Certifikatet er indstillet til at udløbe efter 3 år; Storagesystemet regenererer dog certifikatet en måned før udløbsdatoen. Du kan også overføre et nyt certifikat ved hjælp af
svc_custom_cert serviceKommando. Denne kommando installerer et specificeret SSL-certifikat iPEMformat til brug sammen med administrationsgrænsefladen Unisphere. Du kan finde flere oplysninger om denne servicekommando i dokumentet Tekniske bemærkninger til servicekommandoer. Du kan ikke få vist certifikatet via Unisphere eller Unisphere CLI. Du kan dog få vist certifikatet via en browserklient eller et webværktøj, der forsøger at oprette forbindelse til administrationsporten.
Bemærk: Når systemet er iFIPSog et certifikat genereres off-array, ud over at certifikatet er iPEMformat, skal den private nøgle være iPKCS#1Format. Du kan bruge en OpenSSL-kommando til at udføre denne konvertering. Når.cerog.pkfiler genereres, er dette ekstra trin påkrævet, når certifikatet bruges på et system iFIPSydeevnetilstand.
For at øge sikkerheden bruger nogle organisationer CA-certifikatsammenkædning. Certifikatsammenkædning kæder to eller flere nøglecentercertifikater sammen. Det primære CA-certifikat er rodcertifikatet i slutningen af CA-certifikatkæden. Da systemet skal bruge hele certifikatkæden til at kontrollere ægtheden af et certifikat, der modtages, skal du spørge biblioteksserveradministratoren, om der bruges certifikatsammenkædning. Hvis det er tilfældet, skal du sammenkæde alle relevante certifikater i en enkelt fil og uploade den version. Certifikatet skal være i
PEM/Base64 encoded formatog brug suffikset.cer.
Sådan kontrolleres SSL-certifikatets udløbsdato
Certifikatets udløbsdato kan kontrolleres med kommando:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Tjek "Valid to" dato. Det viser udløbsdatoen for SSL-certifikatet.
Certifikatets udløbsdato kan også kontrolleres via en webbrowser.
- Åbn Google Chrome , og få adgang til Unisphere-brugergrænsefladen.
- Åbn Chrome-menuen, og vælg Flere værktøjer > Udviklerværktøjer.
- Vælg fanen Sikkerhed , og klik på Vis certifikat.
- Gennemse feltet Gyldig indtil for at bestemme certifikatets udløbsdato.