Dell Unity : comment renouveler manuellement un certificat SSL de gestion Unity

概要: Cet article explique comment renouveler manuellement le certificat SSL de gestion Unity lorsque le certificat existant approche de l’expiration ou a déjà expiré. Il fournit les étapes nécessaires à la génération, à l’installation et à la vérification d’un nouveau certificat de gestion afin de maintenir un accès sécurisé aux interfaces de gestion Unity et d’éviter les avertissements liés aux certificats ou les problèmes de connectivité. ...

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

手順

Le certificat SSL de gestion Unity est généré automatiquement lors de la configuration initiale du système et se renouvelle automatiquement avant d’expirer. Si le renouvellement automatique n’a pas lieu, le certificat peut être renouvelé manuellement à l’aide de l’interface utilisateur (UI) Unisphere ou de l’interface de ligne de commande (CLI) Unity.

Renouvellement du certificat à l’aide de l’interface utilisateur Unisphere

  1. Dans Unisphere, accédez à :
    Paramètres → gestion → Adresse IP Unisphere
  2. Remplacez le nom d’hôte du système par un nom temporaire, puis cliquez sur Appliquer.
    • Attendez que l’opération se termine et que Unisphere redevienne disponible.
    • Un nouveau certificat SSL est généré à l’aide du nom d’hôte temporaire.
  3. Reconnectez-vous à Unisphere.
  4. Redéfinissez le nom d’hôte sur sa valeur d’origine, puis cliquez sur Apply.
    • Une fois l’opération terminée, Unity génère un nouveau certificat SSL contenant le nom d’hôte d’origine et les dates de validité mises à jour.
Certificat généré par Unity Unisphere (interface utilisateur)

Renouvellement du certificat à l’aide de la CLI Unity 

Avant de continuer, enregistrez les informations suivantes dans Unisphere :

  • Adresse IP de gestion
  • Masque de sous-réseau
  • Passerelle par défaut
  • Nom d’hôte du système

Pour conserver l’adresse IP de gestion existante, le processus de renouvellement doit être effectué deux fois :

  • Tout d’abord, attribuez un nom d’hôte temporaire.
  • Ensuite, restaurez le nom d’hôte d’origine.


Étape 1 : remplacer le nom d’hôte par une valeur temporaire

Connectez-vous au compte de service Unity à l’aide de SSH et exécutez :

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA est un nom d’hôte temporaire qui diffère du nom actuel du système.

Étape 2 : restaurer le nom d’hôte d’origine

Une fois la première opération terminée, exécutez :

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname est le nom d’hôte du système d’origine.

 

Note: L’adresse IP, le masque de sous-réseau et les valeurs de passerelle doivent rester entre guillemets.

 

Une exécution réussie met à jour le nom d’hôte et déclenche la régénération du certificat SSL de gestion.

Exemple de changement de nom d’hôte réussi :

09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195
Attempting to set friendly name to <vm3195>
Successfully set friendly name to <vm3195>
Validating address IP.xxx.xx.xxx format ... Pass
Validating address GW.xxx.xx.xxx format ... Pass
Validating address Subnet.xxx.xx.xxx format ... Pass
Validating IP and Gateway subnet with Mask ... Pass
Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>

Dépannage

Le renouvellement automatique et manuel des certificats peut échouer si le fichier suivant existe :

/EMC/backend/CEM/ssl/.doNotGenerateCert

Vérifiez sa présence en exécutant :

ls -al /EMC/backend/CEM/ssl/

Si .doNotGenerateCert est présente, la génération de certificat est bloquée.

Exemple :

18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x  2 root root 4096 Jul  2 19:13 .
drwxr-xr-x 21 ecom c4   4096 Apr  9 01:21 ..
-rw-r--r--  1 root root   90 May 31  2025 .doNotGenerateCert     <<<<<<<<<<<<<<<<<<<
-r--r--r--  1 root root 9060 Jul  2 19:13 cert_config.cnf
-rw-r--r--  1 root root   41 Apr  3  2025 currentSubjectAltName
-rw-------  1 ecom root 1679 May 31  2025 ecomtls-rsa.pk
-rw-r--r--  1 root root 2086 May 31  2025 ecomtls.crt
-rw-------  1 root root 1704 May 31  2025 ecomtls.pk

Résolution

Si la .doNotGenerateCert le fichier existe, contactez le support technique Dell et consultez l’ID de cet article. Le support peut vous aider à renommer le fichier afin que le renouvellement manuel du certificat SSL puisse être effectué avec succès.

その他の情報

Guide de configuration de la sécurité de la gamme Dell Unity 5.5.3 (nécessite une connexion en tant qu’utilisateur enregistré du support Dell)

[Extrait de la page 37 du document ci-dessus]

Le système de stockage génère automatiquement un certificat auto-signé lors de sa première initialisation. Le certificat est conservé à la fois dans la NVRAM et sur la LUN back-end. Par la suite, le système de stockage le présente à un client lorsque celui-ci tente de se connecter au système de stockage via le port de gestion. 

Le certificat expire au bout de 3 ans ; Toutefois, le système de stockage régénère le certificat un mois avant sa date d’expiration. En outre, vous pouvez charger un nouveau certificat à l’aide de la commande svc_custom_cert service . Cette commande installe un certificat SSL spécifié dans PEM format à utiliser avec l’interface de gestion Unisphere. Pour plus d’informations sur cette commande de maintenance, reportez-vous au document Notes techniques sur les commandes de maintenance. Vous ne pouvez pas afficher le certificat via Unisphere ou l’interface de ligne de commande Unisphere. Toutefois, vous pouvez afficher le certificat via un client de navigateur ou un outil Web qui tente de se connecter au port de gestion.

 

Note: Lorsque la baie est en FIPS et qu’un certificat est généré hors baie, en plus d’être dans PEM format, la clé privée doit être dans PKCS#1 Format. Vous pouvez utiliser une commande OpenSSL pour effectuer cette conversion. Une fois que l' .cer et .pk fichiers, cette étape supplémentaire est requise lorsque le certificat est utilisé sur une baie dans FIPS le mode performance.

 

Pour renforcer la sécurité, certaines entreprises utilisent le chaînage de certificats d'AC. Une chaîne de certificats relie entre eux plusieurs certificats d'AC. Le certificat d'AC principal correspond au certificat racine qui figure à la fin de la chaîne de certificats d'AC. Dans la mesure où le système a besoin de la chaîne de certificats complète pour vérifier l’authenticité d’un certificat reçu, demandez à l’administrateur du serveur de répertoire si le chaînage de certificats est utilisé. Si tel est le cas, vous devez concaténer tous les certificats appropriés dans un seul fichier et télécharger cette version. Le certificat doit se trouver dans PEM/Base64 encoded format et utilisez le suffixe .cer.

Comment vérifier la date d’expiration du certificat SSL

La date d’expiration du certificat peut être vérifiée à l’aide de la commande suivante : 

uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show

Cochez la case "Valid to" date. Il indique la date d’expiration du certificat SSL.

La date d’expiration du certificat peut également être vérifiée via un navigateur Web.

  1. Ouvrez Google Chrome et accédez à l’interface utilisateur Unisphere.
  2. Ouvrez le menu Chrome et sélectionnez More Tools > Developer Tools.
  3. Sélectionnez l’onglet Security , puis cliquez sur View Certificate.
  4. Vérifiez le champ Valide jusqu’à pour déterminer la date d’expiration du certificat.

対象製品

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE)

製品

Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
文書のプロパティ
文書番号: 000022509
文書の種類: How To
最終更新: 15 7月 2026
バージョン:  9
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。