Dell Unity: come rinnovare manualmente un certificato SSL di gestione Unity

概要: Questo articolo spiega come rinnovare manualmente il certificato SSL di gestione Unity quando il certificato esistente è prossimo alla scadenza o è già scaduto. Fornisce i passaggi necessari per generare, installare e verificare un nuovo certificato di gestione per mantenere un accesso protetto alle interfacce di gestione di Unity ed evitare avvisi relativi ai certificati o problemi di connettività. ...

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

手順

Il certificato SSL di gestione Unity viene generato automaticamente durante la configurazione iniziale del sistema e viene normalmente rinnovato automaticamente prima della scadenza. Se il rinnovo automatico non si verifica, il certificato può essere rinnovato manualmente utilizzando l'interfaccia utente di Unisphere o l'interfaccia della riga di comando (CLI) di Unity.

Rinnovo del certificato tramite l'interfaccia utente di Unisphere

  1. In Unisphere, aprire:
    Settings → Management → Unisphere IP Address
  2. Modificare il nome host del sistema in un nome temporaneo e fare clic su Applica.
    • Attendere che l'operazione venga completata e che Unisphere diventi nuovamente disponibile.
    • Viene generato un nuovo certificato SSL utilizzando il nome host temporaneo.
  3. Accedere nuovamente a Unisphere.
  4. Ripristinare il valore originale del nome host e cliccare su Apply.
    • Al termine dell'operazione, Unity genera un nuovo certificato SSL contenente il nome host originale e le date di validità aggiornate.
Certificato generato da Unity Unisphere (interfaccia utente)

Rinnovo del certificato tramite la CLI di Unity 

Prima di procedere, registrare le seguenti informazioni da Unisphere:

  • Indirizzo IP di gestione
  • Subnet Mask
  • Default gateway
  • Nome host del sistema

Per mantenere l'indirizzo IP di gestione esistente, il processo di rinnovo deve essere eseguito due volte:

  • Innanzitutto, assegnare un nome host temporaneo.
  • Quindi, ripristinare il nome host originale.


Passaggio 1: modificare il nome host in un valore temporaneo

Accedere all'account di servizio Unity tramite SSH ed eseguire:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
Dove hostnameA è un nome host temporaneo diverso dal nome del sistema corrente.

Passaggio 2: ripristinare il nome host originale

Al termine della prima operazione, eseguire:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
Dove hostname è il nome host originale del sistema.

 

Nota: I valori di indirizzo IP, subnet mask e gateway devono rimanere racchiusi tra virgolette.

 

Una corretta esecuzione aggiorna il nome host e attiva la rigenerazione del certificato SSL di gestione.

Esempio di modifica riuscita del nome host:

09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195
Attempting to set friendly name to <vm3195>
Successfully set friendly name to <vm3195>
Validating address IP.xxx.xx.xxx format ... Pass
Validating address GW.xxx.xx.xxx format ... Pass
Validating address Subnet.xxx.xx.xxx format ... Pass
Validating IP and Gateway subnet with Mask ... Pass
Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>

Risoluzione dei problemi

Il rinnovo automatico e manuale dei certificati potrebbe non riuscire se esiste il seguente file:

/EMC/backend/CEM/ssl/.doNotGenerateCert

Verificarne la presenza eseguendo:

ls -al /EMC/backend/CEM/ssl/

Se .doNotGenerateCert è presente, la generazione del certificato è bloccata.

Esempio:

18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x  2 root root 4096 Jul  2 19:13 .
drwxr-xr-x 21 ecom c4   4096 Apr  9 01:21 ..
-rw-r--r--  1 root root   90 May 31  2025 .doNotGenerateCert     <<<<<<<<<<<<<<<<<<<
-r--r--r--  1 root root 9060 Jul  2 19:13 cert_config.cnf
-rw-r--r--  1 root root   41 Apr  3  2025 currentSubjectAltName
-rw-------  1 ecom root 1679 May 31  2025 ecomtls-rsa.pk
-rw-r--r--  1 root root 2086 May 31  2025 ecomtls.crt
-rw-------  1 root root 1704 May 31  2025 ecomtls.pk

Risoluzione

Se il .doNotGenerateCert esiste un file, contattare il supporto tecnico Dell e fare riferimento all'ID di questo articolo. Il supporto può fornire assistenza per rinominare il file in modo che il rinnovo manuale del certificato SSL possa essere completato correttamente.

その他の情報

Dell Unity Family Security Configuration Guide 5.5.3 (richiede l'accesso come utente registrato del supporto Dell)

[Estratto dalla pagina 37 del documento precedente]

Il sistema di storage genera automaticamente un certificato autofirmato durante la prima inizializzazione. Il certificato viene mantenuto nella NVRAM e nella LUN back-end. Successivamente, il sistema di storage lo presenta a un client che cerca di connettersi al sistema di storage tramite la porta di gestione. 

Il certificato è impostato per scadere dopo 3 anni; Tuttavia, il sistema di storage rigenera il certificato un mese prima della data di scadenza. Inoltre, è possibile caricare un nuovo certificato utilizzando svc_custom_cert service . Questo comando installa un certificato SSL specificato in PEM da utilizzare con l'interfaccia di gestione Unisphere. Per ulteriori informazioni su questo comando di servizio, consultare il documento Service Commands Technical Notes. Non è possibile visualizzare il certificato tramite Unisphere o la CLI Unisphere. È tuttavia possibile visualizzarlo tramite un client browser o uno strumento web che tenti di connettersi alla porta di gestione.

 

Nota: Quando l'array è in FIPS e viene generato un certificato off-array, oltre al fatto che il certificato è in PEM la chiave privata deve essere in formato PKCS#1 Formato. È possibile utilizzare un comando OpenSSL per eseguire questa conversione. Una volta che il .cer e .pk vengono generati, questo passaggio aggiuntivo è richiesto quando il certificato viene utilizzato su un array in FIPS prestazioni.

 

Per maggiore sicurezza, alcune organizzazioni utilizzano un concatenamento di certificati CA. Il concatenamento dei certificati collega due o più certificati CA. Il certificato CA primario è il certificato root alla fine della catena di certificati CA. Poiché il sistema necessita della catena di certificati completa per verificare l'autenticità di un certificato ricevuto, chiedere al Server Administrator delle directory se viene utilizzato il concatenamento dei certificati. In caso affermativo, è necessario concatenare tutti i certificati pertinenti in un unico file e caricare tale versione. Il certificato deve essere in PEM/Base64 encoded format e usa il suffisso .cer.

Come controllare la data di scadenza del certificato SSL

La data di scadenza del certificato può essere verificata tramite il comando: 

uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show

Dai un'occhiata "Valid to" data. Mostra la data di scadenza del certificato SSL.

La data di scadenza del certificato può essere verificata anche tramite un web browser.

  1. Aprire Google Chrome e accedere all'interfaccia utente di Unisphere.
  2. Apri il menu Chrome e seleziona Altri strumenti > Strumenti per sviluppatori.
  3. Selezionare la scheda Security e cliccare su View Certificate.
  4. Esaminare il campo Valid until per determinare la data di scadenza del certificato.

対象製品

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE)

製品

Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
文書のプロパティ
文書番号: 000022509
文書の種類: How To
最終更新: 15 7月 2026
バージョン:  9
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。