Dell Unity: Anleitung zum manuellen Erneuern eines Unity-Management-SSL-Zertifikats

概要: In diesem Artikel wird erläutert, wie Sie das Unity-Management-SSL-Zertifikat manuell erneuern, wenn das vorhandene Zertifikat demnächst abläuft oder bereits abgelaufen ist. Es enthält die erforderlichen Schritte zum Erzeugen, Installieren und Überprüfen eines neuen Managementzertifikats, um einen sicheren Zugriff auf die Unity-Managementschnittstellen aufrechtzuerhalten und zertifikatbezogene Warnmeldungen oder Verbindungsprobleme zu verhindern. ...

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

手順

Das Unity-Management-SSL-Zertifikat wird während der Erstkonfiguration des Systems automatisch erzeugt und normalerweise automatisch erneuert, bevor es abläuft. Wenn die automatische Verlängerung nicht erfolgt, kann das Zertifikat manuell entweder über die Unisphere-Benutzeroberfläche (UI) oder die Unity-Befehlszeilenschnittstelle (CLI) erneuert werden.

Erneuern des Zertifikats über die Unisphere-Benutzeroberfläche

  1. Navigieren Sie in Unisphere zu:
    Settings → Management → Unisphere IP Address
  2. Ändern Sie den Hostnamen des Systems in einen temporären Namen und klicken Sie auf Apply.
    • Warten Sie, bis der Vorgang abgeschlossen ist und Unisphere wieder verfügbar ist.
    • Ein neues SSL-Zertifikat wird mit dem temporären Hostnamen erzeugt.
  3. Melden Sie sich wieder bei Unisphere an.
  4. Ändern Sie den Hostnamen wieder in den ursprünglichen Wert und klicken Sie auf Apply.
    • Nach Abschluss des Vorgangs erzeugt Unity ein neues SSL-Zertifikat mit dem ursprünglichen Hostnamen und aktualisierten Gültigkeitsdaten.
Von Unity Unisphere (UI) erzeugtes Zertifikat

Erneuern des Zertifikats über die Unity-CLI 

Notieren Sie sich die folgenden Informationen aus Unisphere, bevor Sie fortfahren:

  • Management-IP-Adresse
  • Subnetzmaske
  • Standard-Gateway
  • Hostname des Systems

Um die vorhandene Management-IP-Adresse beizubehalten, muss der Erneuerungsprozess zweimal durchgeführt werden:

  • Weisen Sie zunächst einen temporären Hostnamen zu.
  • Stellen Sie dann den ursprünglichen Hostnamen wieder her.


Schritt 1: Ändern des Hostnamens in einen temporären Wert

Melden Sie sich über SSH beim Unity-Servicekonto an und führen Sie Folgendes aus:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
Hierbei gilt: hostnameA ist ein temporärer Hostname, der sich vom aktuellen Systemnamen unterscheidet.

Schritt 2: Wiederherstellen des ursprünglichen Hostnamens

Nachdem der erste Vorgang abgeschlossen ist, führen Sie Folgendes aus:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
Hierbei gilt: hostname ist der ursprüngliche Hostname des Systems.

 

Hinweis: Die IP-Adresse, die Subnetzmaske und die Gatewaywerte müssen in Anführungszeichen eingeschlossen bleiben.

 

Eine erfolgreiche Ausführung aktualisiert den Hostnamen und löst die Neugenerierung des Management-SSL-Zertifikats aus.

Beispiel für eine erfolgreiche Änderung des Hostnamens:

09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195
Attempting to set friendly name to <vm3195>
Successfully set friendly name to <vm3195>
Validating address IP.xxx.xx.xxx format ... Pass
Validating address GW.xxx.xx.xxx format ... Pass
Validating address Subnet.xxx.xx.xxx format ... Pass
Validating IP and Gateway subnet with Mask ... Pass
Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>

Beim Troubleshooting

Die automatische und manuelle Zertifikatsverlängerung schlägt möglicherweise fehl, wenn die folgende Datei vorhanden ist:

/EMC/backend/CEM/ssl/.doNotGenerateCert

Überprüfen Sie das Vorhandensein, indem Sie Folgendes ausführen:

ls -al /EMC/backend/CEM/ssl/

Wenn die .doNotGenerateCert vorhanden ist, wird die Zertifikaterstellung blockiert.

Beispiel:

18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x  2 root root 4096 Jul  2 19:13 .
drwxr-xr-x 21 ecom c4   4096 Apr  9 01:21 ..
-rw-r--r--  1 root root   90 May 31  2025 .doNotGenerateCert     <<<<<<<<<<<<<<<<<<<
-r--r--r--  1 root root 9060 Jul  2 19:13 cert_config.cnf
-rw-r--r--  1 root root   41 Apr  3  2025 currentSubjectAltName
-rw-------  1 ecom root 1679 May 31  2025 ecomtls-rsa.pk
-rw-r--r--  1 root root 2086 May 31  2025 ecomtls.crt
-rw-------  1 root root 1704 May 31  2025 ecomtls.pk

Lösung

Wenn die .doNotGenerateCert Die Datei existiert. Wenden Sie sich an den technischen Support von Dell und verweisen Sie auf diese Artikel-ID. Der Support kann beim Umbenennen der Datei behilflich sein, damit die manuelle SSL-Zertifikatsverlängerung erfolgreich abgeschlossen werden kann.

その他の情報

Dell Unity – Leitfaden für die Sicherheitskonfiguration 5.5.3 (Anmeldung als registrierter Dell Support-Nutzer erforderlich)

[Auszug aus Seite: 37 des obigen Dokuments]

Das Speichersystem erzeugt während der ersten Initialisierung automatisch ein selbstsigniertes Zertifikat. Das Zertifikat wird sowohl im NVRAM als auch auf der Back-end-LUN beibehalten. Später zeigt das Speichersystem sie einem Client an, wenn dieser versucht, eine Verbindung zum Speichersystem über den Managementport herzustellen. 

Das Zertifikat läuft nach 3 Jahren ab. Das Speichersystem erzeugt das Zertifikat jedoch einen Monat vor dem Ablaufdatum neu. Sie können auch ein neues Zertifikat hochladen, indem Sie die svc_custom_cert service verwenden. Mit diesem Befehl wird ein bestimmtes SSL-Zertifikat installiert in PEM -Format für die Verwendung mit der Unisphere-Managementschnittstelle. Weitere Informationen zu diesem Servicebefehl finden Sie im Dokument Technische Hinweise zu Servicebefehlen. Sie können das Zertifikat nicht über Unisphere oder die Unisphere-CLI anzeigen. Sie können das Zertifikat jedoch über einen Browserclient oder ein Webtool anzeigen, das versucht, eine Verbindung zum Managementport herzustellen.

 

Hinweis: Wenn das Array in FIPS -Modus und ein Zertifikat außerhalb des Arrays erzeugt wird, zusätzlich zu dem Zertifikat, das sich in PEM muss der private Schlüssel in einem PKCS#1 -Format. Sie können einen OpenSSL-Befehl für diese Konvertierung verwenden. Sobald die .cer und .pk Dateien erzeugt werden. Dieser zusätzliche Schritt ist erforderlich, wenn das Zertifikat auf einem Array in FIPS Modus.

 

Zum Erhöhen der Sicherheit verwenden einige Unternehmen CA-Zertifikatsketten. Bei Zertifikatsketten werden zwei oder mehr CA-Zertifikate miteinander verknüpft. Das primäre CA-Zertifikat ist das Stammzertifikat am Ende der CA-Zertifikatskette. Da das System die vollständige Zertifikatkette benötigt, um die Echtheit eines empfangenen Zertifikats zu überprüfen, fragen Sie den Verzeichnisserveradministrator, ob Zertifikatverkettung verwendet wird. Ist dies der Fall, müssen Sie alle relevanten Zertifikate in einer Datei verketten und diese Version hochladen. Das Zertifikat muss sich in PEM/Base64 encoded format und verwenden Sie das Suffix .cer.

So überprüfen Sie das Ablaufdatum des SSL-Zertifikats

Das Ablaufdatum des Zertifikats kann mit folgendem Befehl überprüft werden: 

uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show

Aktivieren Sie "Valid to" Datum. Es zeigt das Ablaufdatum des SSL-Zertifikats an.

Das Ablaufdatum des Zertifikats kann auch über einen Webbrowser überprüft werden.

  1. Öffnen Sie Google Chrome und greifen Sie auf die Unisphere-Benutzeroberfläche zu.
  2. Öffnen Sie das Chrome-Menü und wählen Sie Weitere Tools > Entwicklertools.
  3. Wählen Sie die Registerkarte Security aus und klicken Sie auf View Certificate.
  4. Überprüfen Sie das Feld Gültig bis , um das Ablaufdatum des Zertifikats zu ermitteln.

対象製品

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE)

製品

Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
文書のプロパティ
文書番号: 000022509
文書の種類: How To
最終更新: 15 7月 2026
バージョン:  9
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。