PowerStore: Procedures certificaatverlenging

Achtergrond

Waarschuwingen over het verlopen van certificaten worden weergegeven wanneer een certificaat binnenkort verloopt of wanneer het automatisch verlengen van een certificaat mislukt.

• Voor door de gebruiker geïmporteerde certificaten moet de gebruiker een nieuw certificaat uploaden om het verlopende certificaat te vervangen.
• Als er sprake is van een fout bij certificaten met automatische verlenging, moet een herstelscript worden gebruikt om het certificaat handmatig te vernieuwen.

PowerStore gebruikt certificaten voor het verifiëren en valideren van TLS-verbindingen met externe systemen. Certificaten zijn geldig voor bepaalde periodes, meestal een jaar of langer. Wanneer een certificaat verloopt, werkt de bijbehorende service mogelijk niet meer of wordt deze in een gedegradeerde modus uitgevoerd.

Om gevolgen voor de service te voorkomen, moet het verlopen van het certificaat worden gecontroleerd om de gebruiker de tijd te geven een nieuw certificaat te verkrijgen en te installeren voordat het oude certificaat verloopt.

PowerStoreOS versie 4.1.0.0 (of hoger) controleert automatisch of certificaten verlopen en controleert eenmaal per middernacht (UTC). Wanneer een certificaat binnenkort blijkt te verlopen, genereert PowerStore waarschuwingen, afhankelijk van of het certificaat intern is gegenereerd en ondertekend (door de PowerStore CA) of is ondertekend door een persoonlijke CA en geïmporteerd door de gebruiker.

Opmerking: Over het algemeen biedt PowerStore geen ondersteuning voor CA's van derden die het GUI-certificaat ondertekenen. Het browserforum verbiedt CA's om certificaten te ondertekenen met beperkte IP's in het certificaat, aangezien privé-IP's zijn opgenomen in de beperkte lijst en ook vereist zijn in het certificaat door PowerStore, zal de CA het verzoek weigeren. De enige mogelijkheid om een certificaat te laten ondertekenen door een CA van een derde partij is om voor het beheernetwerk openbare IP's te gebruiken die worden geleverd door een ISP of IANA.

Dit artikel verwijst naar een certificaat dat is ondertekend door een CA van een particuliere onderneming (bijvoorbeeld met behulp van OpenSSL, Microsoft CA of iets dergelijks) 

Certificaten ondertekend door de particuliere certificeringsinstantie

Meldingen worden gegenereerd wanneer PowerStore vaststelt dat een ondertekend CA-certificaat binnenkort verloopt.

De gegenereerde waarschuwingen:

• Kleine waarschuwing wanneer het certificaat over 30 dagen verloopt en er geen nieuw certificaat is geïmporteerd
• Belangrijke waarschuwing wanneer het certificaat over 15 dagen verloopt en er geen nieuw certificaat is geïmporteerd
• Kritieke waarschuwing wanneer het certificaat over 7 dagen verloopt en er geen nieuw certificaat is geïmporteerd
• Kritieke waarschuwing wanneer een certificaat is verlopen en er geen nieuw certificaat is geïmporteerd

PowerStore CA-ondertekende certificaten

PowerStore CA-ondertekende certificaten worden automatisch verlengd wanneer ze over 90 dagen verlopen. Als de automatische verlenging mislukt, probeert PowerStore het certificaat elke vierentwintig uur te vernieuwen totdat de verlenging is geslaagd.

De gegenereerde waarschuwingen:

• Belangrijke waarschuwing wanneer de automatische verlenging 90 dagen voor de vervaldatum mislukt
• Belangrijke waarschuwing wanneer de automatische verlenging 60 dagen voor de vervaldatum mislukt
• Kritieke waarschuwing wanneer de automatische verlenging 30 dagen voor de vervaldatum mislukt
• Kritieke waarschuwing wanneer het certificaat verloopt

Stappen om het probleem op te lossen:

Privé-CA-ondertekende certificaten

Hieronder worden de stappen voor elke service beschreven. Wanneer een nieuw certificaat is geüpload, worden een of meer waarschuwingen automatisch bevestigd.

PowerStore cluster- en GUI-certificaat

1. Algemene stappen voor het vervangen van een door de PowerStore cluster-CA ondertekend servercertificaat:

1. Een CSR genereren om een door een particuliere certificeringsinstantie (CA) ondertekend servercertificaat te importeren:

   Stappen

   1. Selecteer Settings en selecteer onder Security Signed Cluster Certificate.
   2. Selecteer CSR genereren.
      De dia CSR genereren wordt weergegeven.
   3. Typ de informatie in die wordt gebruikt om de CSR te genereren.
   4. Klik op Genereren.
      De slide-out CSR genereren wordt gewijzigd om de volgende stappen weer te geven die samen met de certificaattekst moeten worden genomen.
   5. Klik op Kopiëren naar klembord om de certificaattekst naar het klembord te kopiëren.
   6. Klik op Sluiten.
   7. Laat het certificaat ondertekenen door de certificeringsinstantie (CA), zodat het kan worden geïmporteerd als een certificaat voor wederzijdse verificatie.

2. Een ondertekend clustercertificaat importeren met behulp van de PowerStore Manager:

   Stappen

   1. Selecteer Settings en selecteer onder Security Signed Cluster Certificate.
      De pagina Signed Cluster Certificate wordt weergegeven.
   2. Selecteer Importeren.
   3. Voer een van de volgende handelingen uit:
      • Selecteer "Select Certificate File" en zoek en selecteer het bestand dat u wilt importeren.
      • Selecteer 'Certificaattekst plakken' en kopieer en plak de certificaattekst in het tekstvak.
   4. Selecteer Importeren.

2. Beheer HTTP-service verloopt:

1. Volg GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate om het PowerStore cluster Third-Party Server Certificate te vervangen.
2. Als het lokale cluster deelneemt aan een replicatierelatie, moet u ervoor zorgen dat de replicatieverbinding nog steeds in orde is.

3. De HTTP-beheerservice is verlopen:

1. Als het lokale cluster geen replicatierelatie heeft, volgt u GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate om het certificaat handmatig te vernieuwen.

2. Als het lokale cluster zich in een replicatierelatie bevindt, ziet u op dit punt hoogstwaarschijnlijk dat de beheerverbinding tussen de twee clusters is verbroken. (Zelfs als deze niet als verbroken wordt weergegeven, wordt de verbindingsstatus bijgewerkt als verbroken zodra een nieuwe TLS-verbinding tot stand is gebracht.) Voer de volgende drie stappen uit:

   1. Voer de pstcli uit en reset het servercertificaat van het lokale cluster naar de standaard PowerStore CA ondertekend.

      pstcli -user <<username>>  -password <<Password>> -destination localClusterIP /x509_certificate reset_certificates -service Management_HTTP -scope External

   2. Voer de pstcli-uitwisseling uit om de verbinding met het replicatiebeheer opnieuw tot stand te brengen. (Zorg ervoor dat de replicatieverbinding is hersteld)

      pstcli -user admin -password <<Password>> -destination localClusterIP /x509_certificate exchange -address remoteClusterIP -port 443 -service Replication_HTTP -username <<username>> -password <<Password>>

   3. Volg GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate om de certificaten te vernieuwen.

Replicatie CA-server

1. Als de CA verloopt op het externe systeem, volgt u Management_HTTP_service_is_expiring om het servercertificaat op het externe systeem te vernieuwen. De replicatie-CA-server wordt automatisch vernieuwd.
2. Als de CA is verlopen, volgt u op het externe systeem Management_HTTP_service_has_expired om het servercertificaat op het externe systeem te vernieuwen. De replicatie-CA-server wordt automatisch vernieuwd.

SecurID

1. Selecteer Settings en selecteer onder Security de optie Authentication en selecteer vervolgens het tabblad RSA SecurID .
2. Als u een nieuwe CA-certificaatketen wilt importeren ter vervanging van het bestaande CA-certificaat dat door PowerStore wordt gebruikt, klikt u op Importeren aan de linkerkant van het scherm boven de tabel Certificaten:
3. Selecteer en importeer het certificaatbestand of plak de certificaattekst (in PEM-indeling) in het schuifdeelvenster RSA SecurID-certificaat importeren.
   Opmerking: Als er meerdere CA-certificaten in de keten zijn, moeten ze allemaal in één certificaatbestand of tekstblok worden geïmporteerd, in oplopende volgorde; Het basis-CA-certificaat moet bijvoorbeeld als laatste zijn. Als u als tekstblok importeert, voegt u een terugloop toe tussen het einde van het ene certificaat en het begin van het volgende.

4. Meerdere certificaten worden ondersteund, dus het bestaande CA-certificaat blijft bestaan totdat het verloopt. Wanneer het bestaande CA-certificaat verloopt en een vervangend certificaat is geïmporteerd, wordt het automatisch verwijderd.

   Om een soepele rollover van CA-certificaten te ondersteunen, ondersteunen we het naast elkaar bestaan van meerdere CA-certificaten. Om ervoor te zorgen dat het proces soepel verloopt, doet u het volgende voordat het CA-certificaat verloopt:

   1. Upload het nieuwe CA-certificaat op PowerStore voordat u overschakelt naar het nieuwe servercertificaat van het CA-certificaat op de SecurID-server.
   2. Schakel op de SecurID-server over om het nieuwe door de CA ondertekende servercertificaat te gebruiken.

LDAP's (LDAP's)
Wanneer LDAPS is geconfigureerd, maakt PowerStore via TLS verbinding met de LDAP-server. PowerStore vereist dat het CA-certificaatketenbestand wordt geüpload om het servercertificaat dat van de LDAP-server is ontvangen correct te verifiëren wanneer de TLS-sessie tot stand is gebracht.

1. Stappen:

   Opmerking: Als er meerdere CA-certificaten in de certificaatketen zijn, moeten ze allemaal in één certificaatbestand worden geïmporteerd, in oplopende volgorde. Het basis-CA-certificaat moet bijvoorbeeld als laatste zijn.
   1. Selecteer Instellingen en selecteer onder Beveiliging de optie Verificatie. Selecteer vervolgens het tabblad LDAP .
   2. Klik op Importeren aan de linkerkant van het scherm boven de tabel Certificaten.

      Het dialoogvenster Bestand uploaden wordt weergegeven.

   3. Klik op Choose File.
   4. Blader naar het gewenste certificaatbestand, selecteer het bestand en klik op Openen.
   5. Nadat het bestand is geüpload, klikt u op Toepassen om de configuratiewijzigingen op te slaan.

2. Meerdere certificaten worden ondersteund, dus het bestaande CA-certificaat blijft bestaan totdat het verloopt. Wanneer het bestaande CA-certificaat verloopt en een vervangend certificaat is geïmporteerd, wordt het automatisch verwijderd.

   Om een soepele rollover van CA-certificaten te ondersteunen, ondersteunen we het naast elkaar bestaan van meerdere CA-certificaten. Om ervoor te zorgen dat het proces soepel verloopt, doet u het volgende voordat het CA-certificaat verloopt:

   1. Upload het nieuwe CA-certificaat op PowerStore voordat u overschakelt naar het nieuwe servercertificaat dat is ondertekend met een CA-certificaat op de LDAP-server.
   2. Schakel op de LDAP-server over om het nieuwe CA-ondertekende servercertificaat te gebruiken.

Externe syslog

1. De klant kan een server-CA-certificaat importeren voor eenrichtingsverificatie en/of een certificaat voor wederzijdse verificatie voor tweerichtingsverificatie. Het CA-certificaat van de server is vereist voor TLS-versleuteling.

2. Ga als volgt te werk om een certificaat te importeren met behulp van PowerStore Manager:

   Stappen:

   1. Klik op Instellingen en selecteer Externe logboekregistratie onder Beveiliging.
      De pagina Externe logboekregistratie wordt weergegeven.
   2. Selecteer onder Certificaten de optie Importeren en selecteer het type certificaat dat u wilt importeren.
      De schuifregelaar voor het betreffende certificaat wordt weergegeven.
   3. Voer een van de volgende handelingen uit:
      • Selecteer "Select Certificate File" en zoek en selecteer het bestand dat u wilt importeren.
      • Selecteer "P aste Certificate File" en kopieer en plak de certificaattekst in het tekstvak.
   4. Selecteer Importeren.
      Het certificaat zou moeten verschijnen in de lijst onder Certificaten.

3. Terwijl het wederzijdse certificaat verloopt, zorgt u ervoor dat de wederzijdse certificering niet wordt onderbroken en dat het CA-certificaat dat u gaat gebruiken om het nieuwe wederzijdse certificaat te ondertekenen, zich in het vertrouwensarchief van uw externe systeembewaarbestand bevindt, zodat de wederzijdse certificering niet wordt onderbroken.

4. Het genereren van een CSR is van toepassing op een certificaat voor wederzijdse verificatie, dat wordt gebruikt bij tweerichtingsverificatie tussen PowerStore en de externe syslog-server. Ga als volgt te werk om een CSR te genereren met behulp van de PowerStore Manager:

   Stappen:

   1. Selecteer Instellingen en selecteer onder Security de optie Remote Logging.
      De pagina Externe logboekregistratie wordt weergegeven.
   2. Selecteer CSR genereren.
      De dia CSR genereren wordt weergegeven.
   3. Typ de informatie in die wordt gebruikt om de CSR te genereren.
   4. Klik op Genereren.
      De slide-out CSR genereren wordt gewijzigd om de volgende stappen weer te geven die samen met de certificaattekst moeten worden genomen.
   5. Klik op Kopiëren naar klembord om de certificaattekst naar het klembord te kopiëren.
   6. Klik op Sluiten.
   7. Laat het certificaat ondertekenen door de certificeringsinstantie (CA), zodat het kan worden geïmporteerd als een certificaat voor wederzijdse verificatie.
   8. Importeer het ondertekende wederzijdse authenticatiecertificaat (client-CA-certificaat) naar PowerStore.

5. Er worden meerdere certificaatketens ondersteund voor CA-servercertificaat, maar alleen de nieuwste wordt gebruikt. Een bestaande CA-certificaatketen die wordt vervangen door een latere CA-certificaatketen blijft bestaan totdat deze verloopt. Als de bestaande CA-certificaatketen is verlopen en een vervangende certificaatketen is geïmporteerd, wordt de verlopen certificaatketen automatisch verwijderd.

KMIP
Om er zeker van te zijn dat de wederzijdse certificering niet wordt verstoord tijdens het verlopen van het wederzijdse certificaat, moet u ervoor zorgen dat het CA-certificaat dat u gaat gebruiken om het nieuwe wederzijdse certificaat te ondertekenen, zich in het vertrouwensarchief van uw KMIP-server bevindt, zodat de verlenging van de wederzijdse certificering niet wordt verstoord.

Om de clientsleutel en het certificaat te vernieuwen, moet een CSR (Certificate Signing Request) worden gegenereerd op het PowerStore systeem, worden verzonden naar de toepasselijke certificeringsinstantie en vervolgens het resulterende (ondertekende) certificaat worden geïmporteerd in de PowerStore.

Ga als volgt te werk om een CSR te genereren met behulp van de PowerStore Manager:

1. Selecteer Instellingen en selecteer KMIP onder Beveiliging.
   De KMIP-configuratiepagina wordt weergegeven.
2. Selecteer CSR genereren.
   De dia CSR genereren wordt weergegeven.
3. Typ de informatie in die wordt gebruikt om de CSR te genereren.
4. Klik op Genereren.
   De slide-out CSR genereren wordt gewijzigd om de volgende stappen weer te geven die samen met de certificaattekst moeten worden genomen.
5. Klik op Kopiëren naar klembord om de certificaattekst naar het klembord te kopiëren.
6. Klik op Sluiten.
7. Houd er rekening mee dat er een vermelding van het certificaat voor wederzijdse verificatie is gemaakt. Dit wordt later gebruikt bij het importeren van het ondertekende certificaat.
8. Laat het certificaat ondertekenen door de certificeringsinstantie (CA), zodat het kan worden geïmporteerd als een certificaat voor wederzijdse verificatie.
9. Het ondertekende certificaat voor wederzijdse verificatie importeren in PowerStore:
   1. Selecteer de vermelding van het certificaat voor wederzijdse verificatie die is gemaakt toen de CSR werd gegenereerd.
   2. Klik op de knop Importeren en selecteer Clientcertificaat
      importeren De dia Clientcertificaat importeren wordt weergegeven.
   3. Selecteer Certificaat in de importopties en selecteer de gewenste certificaatoptie - bestand of tekst - om het certificaat te importeren.
   4. Geef de bestandsnaam op of plak het certificaat in het tekstvak en klik vervolgens op Importeren.

Het server-CA-certificaat vernieuwen:

1. Selecteer Instellingen en selecteer KMIP onder Beveiliging.
   De KMIP-configuratiepagina wordt weergegeven.
2. Klik op de knop Importeren en selecteer Server-CA-certificaat importeren.
   De dia Clientcertificaat importeren wordt weergegeven.
3. Selecteer de gewenste importoptie - bestand of tekst - om het certificaat te importeren.
4. Geef de bestandsnaam op of plak het certificaat in het tekstvak en klik vervolgens op Importeren.

Blok- en bestandsimport van externe storage en externe back-up naar Data Domain

1. Vernieuw het verlopen certificaat op het externe systeem.
2. Voor externe back-upsystemen is de actie Certificaat bijwerken beschikbaar in (Bescherming → externe systemen). (Migratie → importeren van externe storage) is van toepassing op externe systemen van het type blok en bestand. Met deze acties wordt het vernieuwde certificaat opgehaald van een extern systeem, weergegeven aan de gebruiker ter bevestiging/acceptatie en vervolgens bijgewerkt in PowerStore.
3. Het verlopen of verlopen certificaat van PowerStore wordt automatisch verwijderd uit PowerStore tijdens het bijwerken van het vernieuwde certificaat.

VASA CA ondertekend servercertificaat
In dit geval wordt het genereren van CSR gebruikt voor het genereren van het servercertificaat van de VASA-provider. Ga als volgt te werk om een CSR te genereren met behulp van de PowerStore Manager:

1. Selecteer Settings en selecteer onder Security VASA Certificate.
   De pagina VASA-certificaat wordt weergegeven.
2. Selecteer CSR genereren.
   De dia CSR genereren wordt weergegeven.
3. Typ de informatie in die wordt gebruikt om de CSR te genereren.
4. Klik op Genereren.
   De slide-out CSR genereren wordt gewijzigd om de volgende stappen weer te geven die samen met de certificaattekst moeten worden genomen.
5. Klik op Kopiëren naar klembord om de certificaattekst naar het klembord te kopiëren.
6. Klik op Sluiten.
7. De certificeringsinstantie (CA) moet het certificaat ondertekenen zodat het kan worden geïmporteerd.

Het vCenter moet de CA van het geïmporteerde certificaat vertrouwen, anders is de VASA-functionaliteit niet beschikbaar. Om dit te bereiken, uploadt u de ondertekenende CA-keten die werd gebruikt in stap 7 van deze subsectie naar het VMware vCenter Trust Store.

Ga als volgt te werk om een certificaat te importeren met behulp van PowerStore Manager:

1. Klik op Settings en selecteer onder Security VASA Certificate.
   De pagina VASA-certificaat wordt weergegeven.
2. Om te voorkomen dat het VASA-servercertificaat wordt overschreven door vCenter, moet u ervoor zorgen dat de wisselknop Inschakelen/Uitschakelen is ingesteld op Ingeschakeld.
3. Selecteer Importeren.
   De dia Servercertificaat importeren wordt weergegeven.
4. Voer een van de volgende handelingen uit:
   1. Selecteer "Select Certificate File" en zoek en selecteer het bestand dat u wilt importeren.
   2. Selecteer "P aste Certificate Text" en kopieer en plak de certificaattekst in het tekstvak.
5. Selecteer Importeren.

De informatie over het certificaatdetail zou moeten worden weergegeven op de pagina VASA-certificaat. Ook moet de VASA-vermelding die op de pagina Certificate (Settings > Security > Certificate) wordt weergegeven, door de service worden geïdentificeerd als VASA_HTTP en Scope als vasa.

PowerStore CA-ondertekende certificaten

Er zijn twee bruikbaarheidsscripts voor certificaatverlenging: svc_renew_vasa_self_signed_certificate en svc_renew_certificates.

svc_renew_vasa_self_signed_certificate het ondertekende VASA Server PowerStore CA-certificaat vernieuwen.

svc_renew_certificates de PowerStore CA-ondertekende certificaten vernieuwen, zoals PowerStore clusterserver, PowerStore clusterclient en wederzijdse replicatieverificatie.

Gebruik:

[SVC:service@835ZX23-B user]$ svc_renew_vasa_self_signed_certificate -h
usage: svc_renew_vasa_self_signed_certificate [-h] [--force] [--verbose] [--debug]
                                  [--quiet]

    This tool is used to renew the` VASA Server PowerStore CA signed certificate.


optional arguments:
  -h, --help  show this help message and exit
  --force
  --verbose
  --debug
  --quiet

--------------------------------------------------------------------------------------

[SVC:service@835ZX23-B user]$ svc_renew_certificates -h

usage: svc_renew_certificates [-h] [-d] [-v] {list,run} ...

  This tool is used to renew the PowerStore CA signed certificates such as;
  PowerStore Cluster Server, PowerStore Cluster Client, and Replication Mutual Authentication Certificate

  To list the the types of certificates available:
     svc_renew_certificates list

  To renew the specific certificate, or all:
     Renew all certificates:
        svc_renew_certificates run all

     Renew the Replication Mutual Authentication Certificate:
        svc_renew_certificates run replication_mutual_authentication

     Renew the PowerStore Cluster Server Internal certificate:
        svc_renew_certificates run powerstore_cluster_server_internal

     Renew the PowerStore Cluster Server External certificate:
            svc_renew_certificates run powerstore_cluster_server_external

     Renew the PowerStore Cluster Client certificate:
            svc_renew_certificates run powerstore_cluster_server_client

optional arguments:
  -h, --help     show this help message and exit
  -d, --debug    Increase logging level to debug and print logs to console
  -v, --verbose

action:
  {list,run}
    list         List the available certificates for renewal
    run          Renews the certificate type specified for renewal, or all