Dell Unity:如何手動更新 Unity 管理 SSL 憑證

概要: 本文說明如何在現有憑證即將到期或已到期時手動更新 Unity 管理 SSL 憑證。它提供了產生、安裝和驗證新管理憑證所需的步驟,以維持對 Unity 管理介面的安全存取,並防止憑證相關的警告或連線問題。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

手順

Unity 管理 SSL 憑證會在初始系統組態期間自動產生,通常會在到期前自動續約。如果未自動續約,則可使用 Unisphere 使用者介面 (UI) 或 Unity 命令列介面 (CLI) 手動續約憑證。

使用 Unisphere UI 更新憑證

  1. 在 Unisphere 中,前往:
    設定 → 管理 → Unisphere IP 位址
  2. 將系統主機名稱修改為臨時名稱,然後按一下 套用
    • 等待作業完成,並等待 Unisphere 再次可用。
    • 使用臨時主機名生成新的 SSL 證書。
  3. 登入回 Unisphere。
  4. 將主機名稱變更回其原始值,然後按一下 套用
    • 作業完成後,Unity 會產生新的 SSL 憑證,其中包含原始主機名稱和更新的生效日期。
Unity Unisphere (UI) 產生的憑證

使用 Unity CLI 更新憑證 

在繼續之前,請從 Unisphere 記錄下列資訊:

  • 管理 IP 位址
  • 子網路遮罩
  • 預設閘道
  • 系統主機名稱

若要保留現有的管理 IP 位址,續約程序必須執行兩次:

  • 首先,指派臨時主機名稱。
  • 接著還原原始主機名稱


步驟 1:將主機名更改為暫存值

使用 SSH 登入 Unity 服務帳戶,並執行:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
其中 hostnameA 是與當前系統名稱不同的臨時主機名。

步驟 2:還原原始主機名稱

第一次作業完成後,請執行:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
其中 hostname 是原始系統主機名。

 

注意: IP 位址、子網路遮罩和閘道值必須保持在引號中。

 

成功執行會更新主機名稱,並觸發重新建立管理 SSL 憑證。

成功變更主機名稱的範例:

09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195
Attempting to set friendly name to <vm3195>
Successfully set friendly name to <vm3195>
Validating address IP.xxx.xx.xxx format ... Pass
Validating address GW.xxx.xx.xxx format ... Pass
Validating address Subnet.xxx.xx.xxx format ... Pass
Validating IP and Gateway subnet with Mask ... Pass
Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>

故障排除

如果存在以下檔案,自動和手動憑證更新可能會失敗:

/EMC/backend/CEM/ssl/.doNotGenerateCert

執行此命令以驗證其是否存在:

ls -al /EMC/backend/CEM/ssl/

如果 .doNotGenerateCert 存在,證書生成被阻止。

範例:

18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x  2 root root 4096 Jul  2 19:13 .
drwxr-xr-x 21 ecom c4   4096 Apr  9 01:21 ..
-rw-r--r--  1 root root   90 May 31  2025 .doNotGenerateCert     <<<<<<<<<<<<<<<<<<<
-r--r--r--  1 root root 9060 Jul  2 19:13 cert_config.cnf
-rw-r--r--  1 root root   41 Apr  3  2025 currentSubjectAltName
-rw-------  1 ecom root 1679 May 31  2025 ecomtls-rsa.pk
-rw-r--r--  1 root root 2086 May 31  2025 ecomtls.crt
-rw-------  1 root root 1704 May 31  2025 ecomtls.pk

解析度

如果 .doNotGenerateCert 檔案存在,請聯絡 Dell 技術支援部門 並參考本文 ID。支援人員可協助重新命名檔案,以便順利完成手動 SSL 憑證更新。

その他の情報

Dell Unity 系列安全性組態指南 5.5.3 (需要以已註冊的 Dell 支援使用者身分登入)

[摘自上述檔第37頁]

存儲系統在首次初始化期間會自動生成自簽名證書。憑證會同時保留在 NVRAM 和後端 LUN 上。之後,當用戶端嘗試通過管理埠連接到存儲系統時,存儲系統會將其呈現給用戶端。 

證書設置為在 3 年後過期;但是,存儲系統會在證書到期日期前一個月重新生成證書。此外,您可以使用 svc_custom_cert service 命令。此命令會在以下位置安裝指定的 SSL 憑證: PEM 與 Unisphere 管理介面搭配使用的格式。如需此服務命令的詳細資訊,請參閱服務命令技術備註文件。您無法透過 Unisphere 或 Unisphere CLI 檢視憑證;但是,您可以通過瀏覽器用戶端或嘗試連接到管理埠的 Web 工具查看證書。

 

注意: 當陣列在 FIPS 模式中,除了憑證位於陣列外,還會在陣列外產生憑證 PEM 格式,私密金鑰需要在 PKCS#1 格式。您可以使用 OpenSSL 命令來執行此轉換。一旦 .cer.pk 檔案已產生,當憑證用於陣列上時,必須執行這個額外步驟。 FIPS 模式

 

為了提高安全性,某些組織使用 CA 證書鏈。證書鏈將兩個或多個 CA 證書連結在一起。主 CA 證書是 CA 證書鏈末端的根證書。由於系統需要完整的證書鏈來驗證收到的證書的真實性,因此請詢問目錄伺服器管理員是否使用了證書鏈。如果是這樣,則必須將所有相關證書連接為一個檔,然後上傳該版本。憑證必須位於 PEM/Base64 encoded format 並使用後綴 .cer

如何檢查 SSL 憑證到期日期

可透過命令檢查憑證到期日: 

uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show

檢查”Valid to“日期。它顯示 SSL 證書的到期日。

憑證到期日期也可以透過 Web 瀏覽器進行驗證。

  1. 開啟 Google Chrome 並存取 Unisphere UI。
  2. 開啟 Chrome 功能表,然後選取 更多工具 > 開發人員工具
  3. 選取 安全性 標籤,然後按一下 檢視憑證
  4. 檢閱有效 期限 欄位,以判斷憑證到期日期。

対象製品

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE)

製品

Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
文書のプロパティ
文書番号: 000022509
文書の種類: How To
最終更新: 15 7月 2026
バージョン:  9
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。