Dell Unity: Anleitung zum manuellen Erneuern eines Unity-Management-SSL-Zertifikats
概要: In diesem Artikel wird erläutert, wie Sie das Unity-Management-SSL-Zertifikat manuell erneuern, wenn das vorhandene Zertifikat demnächst abläuft oder bereits abgelaufen ist. Es enthält die erforderlichen Schritte zum Erzeugen, Installieren und Überprüfen eines neuen Managementzertifikats, um einen sicheren Zugriff auf die Unity-Managementschnittstellen aufrechtzuerhalten und zertifikatbezogene Warnmeldungen oder Verbindungsprobleme zu verhindern. ...
手順
Das Unity-Management-SSL-Zertifikat wird während der Erstkonfiguration des Systems automatisch erzeugt und normalerweise automatisch erneuert, bevor es abläuft. Wenn die automatische Verlängerung nicht erfolgt, kann das Zertifikat manuell entweder über die Unisphere-Benutzeroberfläche (UI) oder die Unity-Befehlszeilenschnittstelle (CLI) erneuert werden.
Erneuern des Zertifikats über die Unisphere-Benutzeroberfläche
- Navigieren Sie in Unisphere zu:
Settings → Management → Unisphere IP Address - Ändern Sie den Hostnamen des Systems in einen temporären Namen und klicken Sie auf Apply.
- Warten Sie, bis der Vorgang abgeschlossen ist und Unisphere wieder verfügbar ist.
- Ein neues SSL-Zertifikat wird mit dem temporären Hostnamen erzeugt.
- Melden Sie sich wieder bei Unisphere an.
- Ändern Sie den Hostnamen wieder in den ursprünglichen Wert und klicken Sie auf Apply.
- Nach Abschluss des Vorgangs erzeugt Unity ein neues SSL-Zertifikat mit dem ursprünglichen Hostnamen und aktualisierten Gültigkeitsdaten.
Erneuern des Zertifikats über die Unity-CLI
Notieren Sie sich die folgenden Informationen aus Unisphere, bevor Sie fortfahren:
- Management-IP-Adresse
- Subnetzmaske
- Standard-Gateway
- Hostname des Systems
Um die vorhandene Management-IP-Adresse beizubehalten, muss der Erneuerungsprozess zweimal durchgeführt werden:
- Weisen Sie zunächst einen temporären Hostnamen zu.
- Stellen Sie dann den ursprünglichen Hostnamen wieder her.
Schritt 1: Ändern des Hostnamens in einen temporären Wert
Melden Sie sich über SSH beim Unity-Servicekonto an und führen Sie Folgendes aus:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA ist ein temporärer Hostname, der sich vom aktuellen Systemnamen unterscheidet.
Schritt 2: Wiederherstellen des ursprünglichen Hostnamens
Nachdem der erste Vorgang abgeschlossen ist, führen Sie Folgendes aus:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname ist der ursprüngliche Hostname des Systems.
Eine erfolgreiche Ausführung aktualisiert den Hostnamen und löst die Neugenerierung des Management-SSL-Zertifikats aus.
Beispiel für eine erfolgreiche Änderung des Hostnamens:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Beim Troubleshooting
Die automatische und manuelle Zertifikatsverlängerung schlägt möglicherweise fehl, wenn die folgende Datei vorhanden ist:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Überprüfen Sie das Vorhandensein, indem Sie Folgendes ausführen:
ls -al /EMC/backend/CEM/ssl/
Wenn die .doNotGenerateCert vorhanden ist, wird die Zertifikaterstellung blockiert.
Beispiel:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Lösung
Wenn die .doNotGenerateCert Die Datei existiert. Wenden Sie sich an den technischen Support von Dell und verweisen Sie auf diese Artikel-ID. Der Support kann beim Umbenennen der Datei behilflich sein, damit die manuelle SSL-Zertifikatsverlängerung erfolgreich abgeschlossen werden kann.
その他の情報
Dell Unity – Leitfaden für die Sicherheitskonfiguration 5.5.3 (Anmeldung als registrierter Dell Support-Nutzer erforderlich)
[Auszug aus Seite: 37 des obigen Dokuments]
Das Speichersystem erzeugt während der ersten Initialisierung automatisch ein selbstsigniertes Zertifikat. Das Zertifikat wird sowohl im NVRAM als auch auf der Back-end-LUN beibehalten. Später zeigt das Speichersystem sie einem Client an, wenn dieser versucht, eine Verbindung zum Speichersystem über den Managementport herzustellen.
Das Zertifikat läuft nach 3 Jahren ab. Das Speichersystem erzeugt das Zertifikat jedoch einen Monat vor dem Ablaufdatum neu. Sie können auch ein neues Zertifikat hochladen, indem Sie die
svc_custom_cert serviceverwenden. Mit diesem Befehl wird ein bestimmtes SSL-Zertifikat installiert inPEM-Format für die Verwendung mit der Unisphere-Managementschnittstelle. Weitere Informationen zu diesem Servicebefehl finden Sie im Dokument Technische Hinweise zu Servicebefehlen. Sie können das Zertifikat nicht über Unisphere oder die Unisphere-CLI anzeigen. Sie können das Zertifikat jedoch über einen Browserclient oder ein Webtool anzeigen, das versucht, eine Verbindung zum Managementport herzustellen.
Hinweis: Wenn das Array inFIPS-Modus und ein Zertifikat außerhalb des Arrays erzeugt wird, zusätzlich zu dem Zertifikat, das sich inPEMmuss der private Schlüssel in einemPKCS#1-Format. Sie können einen OpenSSL-Befehl für diese Konvertierung verwenden. Sobald die.cerund.pkDateien erzeugt werden. Dieser zusätzliche Schritt ist erforderlich, wenn das Zertifikat auf einem Array inFIPSModus.
Zum Erhöhen der Sicherheit verwenden einige Unternehmen CA-Zertifikatsketten. Bei Zertifikatsketten werden zwei oder mehr CA-Zertifikate miteinander verknüpft. Das primäre CA-Zertifikat ist das Stammzertifikat am Ende der CA-Zertifikatskette. Da das System die vollständige Zertifikatkette benötigt, um die Echtheit eines empfangenen Zertifikats zu überprüfen, fragen Sie den Verzeichnisserveradministrator, ob Zertifikatverkettung verwendet wird. Ist dies der Fall, müssen Sie alle relevanten Zertifikate in einer Datei verketten und diese Version hochladen. Das Zertifikat muss sich in
PEM/Base64 encoded formatund verwenden Sie das Suffix.cer.
So überprüfen Sie das Ablaufdatum des SSL-Zertifikats
Das Ablaufdatum des Zertifikats kann mit folgendem Befehl überprüft werden:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Aktivieren Sie "Valid to" Datum. Es zeigt das Ablaufdatum des SSL-Zertifikats an.
Das Ablaufdatum des Zertifikats kann auch über einen Webbrowser überprüft werden.
- Öffnen Sie Google Chrome und greifen Sie auf die Unisphere-Benutzeroberfläche zu.
- Öffnen Sie das Chrome-Menü und wählen Sie Weitere Tools > Entwicklertools.
- Wählen Sie die Registerkarte Security aus und klicken Sie auf View Certificate.
- Überprüfen Sie das Feld Gültig bis , um das Ablaufdatum des Zertifikats zu ermitteln.