Dell Unity: Unity Management SSL Sertifikasını Manuel Olarak Yenileme
概要: Bu makalede, mevcut sertifikanın süresi dolmak üzereyken veya zaten süresi dolmuşken Unity Management SSL sertifikasının nasıl manuel olarak yenileneceği açıklanmaktadır. Unity yönetim arayüzlerine güvenli erişimi sürdürmek ve sertifikayla ilgili uyarıları veya bağlantı sorunlarını önlemek için yeni bir yönetim sertifikası oluşturmak, yüklemek ve doğrulamak için gereken adımları sağlar. ...
手順
Unity Management SSL sertifikası, ilk sistem yapılandırması sırasında otomatik olarak oluşturulur ve normalde süresi dolmadan önce otomatik olarak yenilenir. Otomatik yenileme gerçekleşmezse sertifika, Unisphere kullanıcı arayüzü (UI) veya Unity komut satırı arayüzü (CLI) üzerinden manuel olarak yenilenebilir.
Unisphere UI kullanarak sertifikayı yenileme
- Unisphere'de Settings → Management → Unisphere IP Address bölümüne
gidin - Sistem ana bilgisayar adını geçici bir adla değiştirin ve Uygula öğesine tıklayın.
- İşlemin tamamlanmasını ve Unisphere'in yeniden kullanılabilir olmasını bekleyin.
- Geçici ana bilgisayar adı kullanılarak yeni bir SSL sertifikası oluşturulur.
- Unisphere'de tekrar oturum açın.
- Ana bilgisayar adını orijinal değerine geri döndürün ve Uygula'ya tıklayın.
- İşlem tamamlandıktan sonra Unity, orijinal ana bilgisayar adını ve güncellenmiş geçerlilik tarihlerini içeren yeni bir SSL sertifikası oluşturur.
Unity CLI kullanarak sertifikayı yenileme
Devam etmeden önce Unisphere'den aşağıdaki bilgileri kaydedin:
- Yönetim IP adresi
- Alt ağ maskesi
- Varsayılan ağ geçidi
- Sistem ana bilgisayar adı
Mevcut yönetim IP adresini korumak için yenileme işlemi iki kez gerçekleştirilmelidir:
- Öncelikle geçici bir ana bilgisayar adı atayın.
- Ardından, orijinal ana bilgisayar adını geri yükleyin.
1. Adım: Ana bilgisayar adını geçici bir değerle değiştirin
SSH kullanarak Unity hizmet hesabında oturum açın ve şunu çalıştırın:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA , geçerli sistem adından farklı olan geçici bir ana bilgisayar adıdır.
2. Adım: Orijinal ana bilgisayar adını geri yükleyin
İlk işlem tamamlandıktan sonra şunu çalıştırın:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname orijinal sistem ana bilgisayar adıdır.
Başarılı bir yürütme, ana bilgisayar adını günceller ve yönetim SSL sertifikasının yeniden oluşturulmasını tetikler.
Başarılı bir ana bilgisayar adı değişikliği örneği:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Sorun Giderme
Aşağıdaki dosya mevcutsa otomatik ve manuel sertifika yenileme başarısız olabilir:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Şunu çalıştırarak varlığını doğrulayın:
ls -al /EMC/backend/CEM/ssl/
Eğer .doNotGenerateCert mevcutsa sertifika oluşturma engellenir.
Örnek:
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Çözünürlük
Etkinleştirici .doNotGenerateCert Dosya mevcutsa Dell Teknik Destek ile iletişime geçin ve bu makale kimliğine başvurun. Destek, manuel SSL sertifikası yenilemesinin başarıyla tamamlanabilmesi için dosyanın yeniden adlandırılmasına yardımcı olabilir.
その他の情報
Dell Unity Family Security Configuration Guide 5.5.3 (kayıtlı Dell Destek kullanıcısı olarak oturum açılması gerekir)
[Yukarıdaki belgenin 37. sayfasından alınmıştır]
Depolama sistemi, ilk başlatma sırasında otomatik olarak kendinden imzalı bir sertifika oluşturur. Sertifika hem NVRAM'de hem de arka uç LUN'unda korunur. Daha sonra istemci, yönetim bağlantı noktası üzerinden depolama sistemiyle bağlantı kurmaya çalışırken depolama sistemi bunu istemciye sunar.
Sertifikanın süresi 3 yıl sonra dolacak şekilde ayarlanmıştır; Ancak depolama sistemi, sertifikayı sona erme tarihinden bir ay önce yeniden oluşturur. Ayrıca, kullanarak yeni bir sertifika yükleyebilirsiniz.
svc_custom_cert servicekontrol edin. Bu komut, belirtilen SSL sertifikasınıPEMUnisphere yönetim arayüzüyle kullanım için format. Bu servis komutu hakkında daha fazla bilgi için Service Commands Technical Notes belgesine bakın. Sertifikayı Unisphere veya Unisphere CLI üzerinden görüntüleyemezsiniz ancak sertifikayı bir tarayıcı istemcisi veya yönetim bağlantı noktasına bağlanmaya çalışan bir web aracı aracılığıyla görüntüleyebilirsiniz.
Not: Dizi içeri girdiğindeFIPSmodu ve sertifikanın içinde olmasına ek olarak dizi dışı bir sertifika oluşturulur.PEMbiçimindeyse, özel anahtarınPKCS#1Biçim. Bu dönüştürmeyi yapmak için bir OpenSSL komutu kullanabilirsiniz. Bir kez.cerve.pkdosyaları oluşturulur. Sertifika içindeki bir dizide kullanıldığında bu ek adım gereklidir.FIPSsağlayacağız.
Güvenliği artırmak için bazı kuruluşlar CA sertifika zincirini kullanır. Sertifika zinciri, iki veya daha fazla CA sertifikasını birbirine bağlar. Birincil CA sertifikası, CA sertifika zincirinin sonundaki kök sertifikadır. Sistemin alınan bir sertifikanın orijinal olduğunu doğrulamak için tam sertifika zincirine ihtiyacı olduğundan dizin sunucusu yöneticisine sertifika zinciri kullanılıp kullanılmadığını sorun. Kullanılıyorsa ilgili tüm sertifikaları tek bir dosyada birbirine bağlamalı ve bu sürümü yüklemelisiniz. Sertifikanın mevcut olması gerekir
PEM/Base64 encoded formatve son eki kullanın.cer.
SSL Sertifikası Son Kullanma Tarihi Nasıl Kontrol Edilir
Sertifika Sona Erme tarihi komutla kontrol edilebilir:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Kontrol "Valid to" tarihi. SSL Sertifikasının son kullanma tarihini gösterir.
Sertifika sona erme tarihi bir web tarayıcısı aracılığıyla da doğrulanabilir.
- Google Chrome'u açın ve Unisphere UI'a erişin.
- Chrome menüsünü açın ve Diğer Araçlar > Geliştirici Araçları'nı seçin.
- Güvenlik sekmesini seçin ve Sertifikayı Görüntüle'ye tıklayın.
- Sertifika sona erme tarihini belirlemek için Geçerlilik son tarihi alanını gözden geçirin.