Dell Unity: come rinnovare manualmente un certificato SSL di gestione Unity
概要: Questo articolo spiega come rinnovare manualmente il certificato SSL di gestione Unity quando il certificato esistente è prossimo alla scadenza o è già scaduto. Fornisce i passaggi necessari per generare, installare e verificare un nuovo certificato di gestione per mantenere un accesso protetto alle interfacce di gestione di Unity ed evitare avvisi relativi ai certificati o problemi di connettività. ...
手順
Il certificato SSL di gestione Unity viene generato automaticamente durante la configurazione iniziale del sistema e viene normalmente rinnovato automaticamente prima della scadenza. Se il rinnovo automatico non si verifica, il certificato può essere rinnovato manualmente utilizzando l'interfaccia utente di Unisphere o l'interfaccia della riga di comando (CLI) di Unity.
Rinnovo del certificato tramite l'interfaccia utente di Unisphere
- In Unisphere, aprire:
Settings → Management → Unisphere IP Address - Modificare il nome host del sistema in un nome temporaneo e fare clic su Applica.
- Attendere che l'operazione venga completata e che Unisphere diventi nuovamente disponibile.
- Viene generato un nuovo certificato SSL utilizzando il nome host temporaneo.
- Accedere nuovamente a Unisphere.
- Ripristinare il valore originale del nome host e cliccare su Apply.
- Al termine dell'operazione, Unity genera un nuovo certificato SSL contenente il nome host originale e le date di validità aggiornate.
Rinnovo del certificato tramite la CLI di Unity
Prima di procedere, registrare le seguenti informazioni da Unisphere:
- Indirizzo IP di gestione
- Subnet Mask
- Default gateway
- Nome host del sistema
Per mantenere l'indirizzo IP di gestione esistente, il processo di rinnovo deve essere eseguito due volte:
- Innanzitutto, assegnare un nome host temporaneo.
- Quindi, ripristinare il nome host originale.
Passaggio 1: modificare il nome host in un valore temporaneo
Accedere all'account di servizio Unity tramite SSH ed eseguire:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA è un nome host temporaneo diverso dal nome del sistema corrente.
Passaggio 2: ripristinare il nome host originale
Al termine della prima operazione, eseguire:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname è il nome host originale del sistema.
Una corretta esecuzione aggiorna il nome host e attiva la rigenerazione del certificato SSL di gestione.
Esempio di modifica riuscita del nome host:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Risoluzione dei problemi
Il rinnovo automatico e manuale dei certificati potrebbe non riuscire se esiste il seguente file:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Verificarne la presenza eseguendo:
ls -al /EMC/backend/CEM/ssl/
Se .doNotGenerateCert è presente, la generazione del certificato è bloccata.
Esempio:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Risoluzione
Se il .doNotGenerateCert esiste un file, contattare il supporto tecnico Dell e fare riferimento all'ID di questo articolo. Il supporto può fornire assistenza per rinominare il file in modo che il rinnovo manuale del certificato SSL possa essere completato correttamente.
その他の情報
Dell Unity Family Security Configuration Guide 5.5.3 (richiede l'accesso come utente registrato del supporto Dell)
[Estratto dalla pagina 37 del documento precedente]
Il sistema di storage genera automaticamente un certificato autofirmato durante la prima inizializzazione. Il certificato viene mantenuto nella NVRAM e nella LUN back-end. Successivamente, il sistema di storage lo presenta a un client che cerca di connettersi al sistema di storage tramite la porta di gestione.
Il certificato è impostato per scadere dopo 3 anni; Tuttavia, il sistema di storage rigenera il certificato un mese prima della data di scadenza. Inoltre, è possibile caricare un nuovo certificato utilizzando
svc_custom_cert service. Questo comando installa un certificato SSL specificato inPEMda utilizzare con l'interfaccia di gestione Unisphere. Per ulteriori informazioni su questo comando di servizio, consultare il documento Service Commands Technical Notes. Non è possibile visualizzare il certificato tramite Unisphere o la CLI Unisphere. È tuttavia possibile visualizzarlo tramite un client browser o uno strumento web che tenti di connettersi alla porta di gestione.
Nota: Quando l'array è inFIPSe viene generato un certificato off-array, oltre al fatto che il certificato è inPEMla chiave privata deve essere in formatoPKCS#1Formato. È possibile utilizzare un comando OpenSSL per eseguire questa conversione. Una volta che il.cere.pkvengono generati, questo passaggio aggiuntivo è richiesto quando il certificato viene utilizzato su un array inFIPSprestazioni.
Per maggiore sicurezza, alcune organizzazioni utilizzano un concatenamento di certificati CA. Il concatenamento dei certificati collega due o più certificati CA. Il certificato CA primario è il certificato root alla fine della catena di certificati CA. Poiché il sistema necessita della catena di certificati completa per verificare l'autenticità di un certificato ricevuto, chiedere al Server Administrator delle directory se viene utilizzato il concatenamento dei certificati. In caso affermativo, è necessario concatenare tutti i certificati pertinenti in un unico file e caricare tale versione. Il certificato deve essere in
PEM/Base64 encoded formate usa il suffisso.cer.
Come controllare la data di scadenza del certificato SSL
La data di scadenza del certificato può essere verificata tramite il comando:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Dai un'occhiata "Valid to" data. Mostra la data di scadenza del certificato SSL.
La data di scadenza del certificato può essere verificata anche tramite un web browser.
- Aprire Google Chrome e accedere all'interfaccia utente di Unisphere.
- Apri il menu Chrome e seleziona Altri strumenti > Strumenti per sviluppatori.
- Selezionare la scheda Security e cliccare su View Certificate.
- Esaminare il campo Valid until per determinare la data di scadenza del certificato.