Dell Unity : comment renouveler manuellement un certificat SSL de gestion Unity
概要: Cet article explique comment renouveler manuellement le certificat SSL de gestion Unity lorsque le certificat existant approche de l’expiration ou a déjà expiré. Il fournit les étapes nécessaires à la génération, à l’installation et à la vérification d’un nouveau certificat de gestion afin de maintenir un accès sécurisé aux interfaces de gestion Unity et d’éviter les avertissements liés aux certificats ou les problèmes de connectivité. ...
手順
Le certificat SSL de gestion Unity est généré automatiquement lors de la configuration initiale du système et se renouvelle automatiquement avant d’expirer. Si le renouvellement automatique n’a pas lieu, le certificat peut être renouvelé manuellement à l’aide de l’interface utilisateur (UI) Unisphere ou de l’interface de ligne de commande (CLI) Unity.
Renouvellement du certificat à l’aide de l’interface utilisateur Unisphere
- Dans Unisphere, accédez à :
Paramètres → gestion → Adresse IP Unisphere - Remplacez le nom d’hôte du système par un nom temporaire, puis cliquez sur Appliquer.
- Attendez que l’opération se termine et que Unisphere redevienne disponible.
- Un nouveau certificat SSL est généré à l’aide du nom d’hôte temporaire.
- Reconnectez-vous à Unisphere.
- Redéfinissez le nom d’hôte sur sa valeur d’origine, puis cliquez sur Apply.
- Une fois l’opération terminée, Unity génère un nouveau certificat SSL contenant le nom d’hôte d’origine et les dates de validité mises à jour.
Renouvellement du certificat à l’aide de la CLI Unity
Avant de continuer, enregistrez les informations suivantes dans Unisphere :
- Adresse IP de gestion
- Masque de sous-réseau
- Passerelle par défaut
- Nom d’hôte du système
Pour conserver l’adresse IP de gestion existante, le processus de renouvellement doit être effectué deux fois :
- Tout d’abord, attribuez un nom d’hôte temporaire.
- Ensuite, restaurez le nom d’hôte d’origine.
Étape 1 : remplacer le nom d’hôte par une valeur temporaire
Connectez-vous au compte de service Unity à l’aide de SSH et exécutez :
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA est un nom d’hôte temporaire qui diffère du nom actuel du système.
Étape 2 : restaurer le nom d’hôte d’origine
Une fois la première opération terminée, exécutez :
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname est le nom d’hôte du système d’origine.
Une exécution réussie met à jour le nom d’hôte et déclenche la régénération du certificat SSL de gestion.
Exemple de changement de nom d’hôte réussi :
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Dépannage
Le renouvellement automatique et manuel des certificats peut échouer si le fichier suivant existe :
/EMC/backend/CEM/ssl/.doNotGenerateCert
Vérifiez sa présence en exécutant :
ls -al /EMC/backend/CEM/ssl/
Si .doNotGenerateCert est présente, la génération de certificat est bloquée.
Exemple :
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Résolution
Si la .doNotGenerateCert le fichier existe, contactez le support technique Dell et consultez l’ID de cet article. Le support peut vous aider à renommer le fichier afin que le renouvellement manuel du certificat SSL puisse être effectué avec succès.
その他の情報
Guide de configuration de la sécurité de la gamme Dell Unity 5.5.3 (nécessite une connexion en tant qu’utilisateur enregistré du support Dell)
[Extrait de la page 37 du document ci-dessus]
Le système de stockage génère automatiquement un certificat auto-signé lors de sa première initialisation. Le certificat est conservé à la fois dans la NVRAM et sur la LUN back-end. Par la suite, le système de stockage le présente à un client lorsque celui-ci tente de se connecter au système de stockage via le port de gestion.
Le certificat expire au bout de 3 ans ; Toutefois, le système de stockage régénère le certificat un mois avant sa date d’expiration. En outre, vous pouvez charger un nouveau certificat à l’aide de la commande
svc_custom_cert service. Cette commande installe un certificat SSL spécifié dansPEMformat à utiliser avec l’interface de gestion Unisphere. Pour plus d’informations sur cette commande de maintenance, reportez-vous au document Notes techniques sur les commandes de maintenance. Vous ne pouvez pas afficher le certificat via Unisphere ou l’interface de ligne de commande Unisphere. Toutefois, vous pouvez afficher le certificat via un client de navigateur ou un outil Web qui tente de se connecter au port de gestion.
Note: Lorsque la baie est enFIPSet qu’un certificat est généré hors baie, en plus d’être dansPEMformat, la clé privée doit être dansPKCS#1Format. Vous pouvez utiliser une commande OpenSSL pour effectuer cette conversion. Une fois que l'.ceret.pkfichiers, cette étape supplémentaire est requise lorsque le certificat est utilisé sur une baie dansFIPSle mode performance.
Pour renforcer la sécurité, certaines entreprises utilisent le chaînage de certificats d'AC. Une chaîne de certificats relie entre eux plusieurs certificats d'AC. Le certificat d'AC principal correspond au certificat racine qui figure à la fin de la chaîne de certificats d'AC. Dans la mesure où le système a besoin de la chaîne de certificats complète pour vérifier l’authenticité d’un certificat reçu, demandez à l’administrateur du serveur de répertoire si le chaînage de certificats est utilisé. Si tel est le cas, vous devez concaténer tous les certificats appropriés dans un seul fichier et télécharger cette version. Le certificat doit se trouver dans
PEM/Base64 encoded formatet utilisez le suffixe.cer.
Comment vérifier la date d’expiration du certificat SSL
La date d’expiration du certificat peut être vérifiée à l’aide de la commande suivante :
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Cochez la case "Valid to" date. Il indique la date d’expiration du certificat SSL.
La date d’expiration du certificat peut également être vérifiée via un navigateur Web.
- Ouvrez Google Chrome et accédez à l’interface utilisateur Unisphere.
- Ouvrez le menu Chrome et sélectionnez More Tools > Developer Tools.
- Sélectionnez l’onglet Security , puis cliquez sur View Certificate.
- Vérifiez le champ Valide jusqu’à pour déterminer la date d’expiration du certificat.