PowerStore: Procedimentos de renovação de certificado

Informações gerais

Os alertas de expiração de certificado são exibidos quando um certificado deve expirar em breve ou quando uma renovação automática de certificado falha.

• Para certificados importados pelo usuário, o usuário deve fazer upload de um novo certificado para substituir o certificado que está expirando.
• Para certificados renovados automaticamente, se houver falha, um script de recuperação deverá ser usado para renovar manualmente o certificado.

O PowerStore usa certificados para autenticar e validar as conexões TLS com sistemas externos. Os certificados são válidos por períodos específicos, geralmente um ano ou mais. Quando um certificado expira, o serviço associado pode parar de funcionar ou pode executar em um modo degradado.

Para evitar o impacto sobre o serviço, a expiração do certificado deve ser monitorada para dar ao usuário tempo para obter e instalar um novo certificado antes que o antigo expire.

O PowerStoreOS versão 4.1.0.0 (ou posterior) monitora automaticamente a expiração dos certificados, verificando uma vez a cada meia-noite (UTC). Quando um certificado vence em breve, o PowerStore gera alertas, dependendo de o certificado ter sido gerado e assinado internamente (pela CA do PowerStore) ou assinado por uma CA privada e importado pelo usuário.

Nota: Em geral, o PowerStore não é compatível com CAs de terceiros que assinam o certificado da GUI. O fórum do navegador proíbe as CAs de assinar certificados com IPs restritos no certificado, já que IPs privados estão incluídos na lista restrita e também são exigidos no certificado pelo PowerStore. A CA recusará a solicitação. A única possibilidade de obter um certificado assinado por uma CA de terceiros é usar para a rede de gerenciamento IPs públicos fornecidos por um ISP ou IANA.

Este artigo se refere a um certificado assinado por uma CA de empresa privada (por exemplo, usando OpenSSL, Microsoft CA ou algo semelhante) 

Certificados assinados pela autoridade de certificação privada

Os alertas são gerados quando o PowerStore determina que um certificado assinado pela CA vencerá em breve.

Os alertas gerados:

• Alerta secundário quando o certificado expira em 30 dias e um novo certificado não foi importado
• Alerta importante quando o certificado expira em 15 dias e um novo certificado não foi importado
• Alerta crítico quando o certificado vence em 7 dias e um novo certificado não foi importado
• Alerta crítico quando um certificado expirou e um novo certificado não foi importado

Certificados assinados pela CA do PowerStore

Os certificados assinados pela CA do PowerStore são renovados automaticamente quando vencem em 90 dias. Se a renovação automática falhar, o PowerStore tentará renovar o certificado a cada vinte e quatro horas até que a renovação seja bem-sucedida.

Os alertas gerados:

• Alerta importante quando a renovação automática falha 90 dias antes da expiração
• Alerta importante quando a renovação automática falha 60 dias antes do vencimento
• Alerta crítico quando a renovação automática falha 30 dias antes da expiração
• Alerta crítico quando o certificado expira

Etapas para resolver:

Certificados assinados por CA privada

Veja a seguir as etapas para cada serviço. Quando um novo certificado é carregado com sucesso, um ou mais alertas são automaticamente confirmados.

Certificado da GUI e do cluster do PowerStore

1. Etapas gerais para substituir o certificado do servidor assinado pela CA do cluster do PowerStore:

1. Para gerar uma CSR a fim de importar um certificado de servidor assinado por uma autoridade de certificação (CA) privada:

   Etapas

   1. Selecione Configurações e, em Segurança, selecione Certificado assinado do cluster.
   2. Selecione Generate CSR.
      O painel deslizante Generate CSR é exibido.
   3. Digite as informações usadas para gerar a CSR.
   4. Clique em Gerar.
      O controle deslizante Generate CSR muda para mostrar as próximas etapas que devem ser seguidas juntamente com o texto do certificado.
   5. Clique em Copy to clipboard para copiar o texto do certificado para a área de transferência.
   6. Clique em Fechar.
   7. Faça com que a autoridade de certificação (CA) assine o certificado para que ele possa ser importado como um Certificado de autenticação mútua.

2. Para importar um certificado de cluster assinado usando o PowerStore Manager:

   Etapas

   1. Selecione Configurações e, em Segurança, selecione Certificado assinado do cluster.
      A página Certificado assinado do cluster é exibida.
   2. Selecione Import.
   3. Faça o seguinte:
      • Selecione "Selecionar arquivo de certificado", localize e selecione o arquivo a ser importado.
      • Selecione "Colar texto do certificado" e copie e cole o texto do certificado na caixa de texto.
   4. Selecione Import.

2. O serviço HTTP de gerenciamento está expirando:

1. Siga GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate para substituir o certificado de servidor de terceiros do cluster do PowerStore.
2. Se o cluster local estiver participando de uma relação de replicação, certifique-se de que a conexão de replicação ainda esteja íntegra.

3. O serviço HTTP de gerenciamento expirou:

1. Se o cluster local não estiver em uma relação de replicação, siga GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate para renovar manualmente o certificado.

2. Se o cluster local estiver em uma relação de replicação, nesse ponto, é muito provável que você veja que a conexão de gerenciamento foi interrompida entre os dois clusters. (Mesmo que não seja exibida como quebrada, assim que uma nova conexão TLS é estabelecida, o status da conexão é atualizado como quebrado.) Execute as três etapas a seguir:

   1. Execute a redefinição pstcli do certificado do servidor do cluster local para a CA padrão do PowerStore assinada.

      pstcli -user <<username>>  -password <<Password>> -destination localClusterIP /x509_certificate reset_certificates -service Management_HTTP -scope External

   2. Execute a troca pstcli para restabelecer a conexão de gerenciamento de replicação. (Certifique-se de que a conexão de replicação seja recuperada)

      pstcli -user admin -password <<Password>> -destination localClusterIP /x509_certificate exchange -address remoteClusterIP -port 443 -service Replication_HTTP -username <<username>> -password <<Password>>

   3. Siga GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate para atualizar os certificados.

Servidor CA de replicação

1. Caso a CA esteja expirando no sistema remoto, siga Management_HTTP_service_is_expiring para atualizar o certificado do servidor no sistema remoto, ele renova automaticamente o servidor CA de replicação.
2. Caso a CA tenha expirado, no sistema remoto, siga Management_HTTP_service_has_expired para atualizar o certificado do servidor no sistema remoto, ele renovará automaticamente o servidor da CA de replicação.

SecurID

1. Selecione Configurações e, em Segurança, selecione Autenticação e, em seguida, selecione a guia RSA SecurID .
2. Para importar uma nova cadeia de certificados CA para substituir o certificado CA existente que está sendo usado pelo PowerStore, clique em Import no lado esquerdo da tela acima da tabela Certificates:
3. Selecione e importe o arquivo de certificado ou cole o texto do certificado (no formato PEM) no painel deslizante Importar certificado do RSA SecurID.
   Nota: Se houver vários certificados CA na cadeia, todos eles devem ser importados em um único arquivo de certificado ou bloco de texto, em ordem crescente; por exemplo, o certificado raiz da CA deve ser o último. Se importado como um bloco de texto, adicione um caractere carriage return entre o final de um certificado e o início do próximo.

4. Vários certificados são compatíveis, portanto, o certificado da CA existente permanece até expirar. Quando o certificado da CA existente expira e uma substituição é importada, ele é excluído automaticamente.

   Para dar suporte à substituição uniforme de certificados da CA, oferecemos suporte à coexistência de vários certificados da CA. Para garantir que o processo transcorra sem problemas, antes que o certificado da CA expire:

   1. Carregue o novo certificado CA no PowerStore antes de alternar para o novo certificado de servidor assinado por certificado CA no servidor SecurID.
   2. No servidor SecurID, alterne para usar o novo certificado de servidor assinado pela CA.

LDAPS
Quando o LDAPS é configurado, o PowerStore se conecta ao servidor LDAP usando TLS. O PowerStore exige que o arquivo da cadeia de certificados CA seja carregado para verificar corretamente o certificado do servidor recebido do servidor LDAP quando a sessão TLS é estabelecida.

1. Etapas:

   Nota: Se houver vários certificados CA na cadeia de certificados, todos eles devem ser importados em um único arquivo de certificado, em ordem crescente; por exemplo, o certificado raiz da CA deve ser o último.
   1. Selecione Configurações e, em Segurança, selecione Autenticação. Em seguida, selecione a guia LDAP .
   2. Clique em Import no lado esquerdo da tela, acima da tabela Certificates.

      A caixa de diálogo Upload File é exibida.

   3. Clique em Choose File.
   4. Navegue até o arquivo de certificado desejado, selecione-o e clique em Open.
   5. Após a conclusão do upload do arquivo, clique em Apply para salvar as alterações da configuração.

2. Vários certificados são compatíveis, portanto, o certificado da CA existente permanece até expirar. Quando o certificado da CA existente expira e uma substituição é importada, ele é excluído automaticamente.

   Para dar suporte à substituição uniforme de certificados da CA, oferecemos suporte à coexistência de vários certificados da CA. Para garantir que o processo transcorra sem problemas, antes que o certificado da CA expire:

   1. Carregue o novo certificado CA no PowerStore antes de alternar para o novo certificado de servidor assinado com certificado CA no servidor LDAP.
   2. No servidor LDAP, alterne para usar o novo certificado de servidor assinado pela CA.

Syslog remoto

1. O cliente pode importar um certificado da CA do servidor para autenticação unidirecional e/ou certificado de autenticação mútua para autenticação bidirecional. O certificado da CA do servidor é necessário para a criptografia TLS.

2. Para importar um certificado usando o PowerStore Manager, faça o seguinte:

   Etapas:

   1. Clique em Settings e, em Security, selecione Remote Logging.
      A página Remote logging é exibida.
   2. Em Certificates, selecione Import e o tipo de certificado a ser importado.
      O painel deslizante do respectivo certificado é exibido.
   3. Faça o seguinte:
      • Selecione "Selecionar arquivo de certificado", localize e selecione o arquivo a ser importado.
      • Selecione "Paste Certificate File" e copie e cole o texto do certificado na caixa de texto.
   4. Selecione Importar.
      O certificado deve aparecer na lista em Certificados.

3. Enquanto o certificado mútuo estiver expirando, para garantir que a certificação mútua não seja disruptiva, se ela for permitida no sistema remoto antes de iniciar o processo de substituição do certificado de autenticação mútua, certifique-se de que o certificado da CA que você está prestes a usar para assinar o novo certificado mútuo esteja no armazenamento confiável do log sys remoto.

4. A geração de uma CSR é aplicável a um certificado de autenticação mútua, que é usado na autenticação bidirecional entre o PowerStore e o servidor syslog remoto. Para gerar uma CSR usando o PowerStore Manager, faça o seguinte:

   Etapas:

   1. Selecione Settings e, em Security, selecione Remote Logging.
      A página Remote logging é exibida.
   2. Selecione Generate CSR.
      O painel deslizante Generate CSR é exibido.
   3. Digite as informações usadas para gerar a CSR.
   4. Clique em Gerar.
      O controle deslizante Generate CSR muda para mostrar as próximas etapas que devem ser seguidas juntamente com o texto do certificado.
   5. Clique em Copiar para a área de transferência para copiar o texto do certificado para a área de transferência.
   6. Clique em Fechar.
   7. Faça com que a autoridade de certificação (CA) assine o certificado para que ele possa ser importado como um Certificado de autenticação mútua.
   8. Importe o certificado de autenticação mútua assinado (certificado da CA do cliente) para o PowerStore.

5. Várias cadeias de certificados são compatíveis com o certificado do servidor CA, mas apenas o mais recente é usado. Uma cadeia de certificados de CA existente que é substituída por uma cadeia de certificados de CA posterior permanecerá até expirar. Se a cadeia de certificados da CA existente tiver expirado e uma cadeia de certificados de substituição tiver sido importada, a cadeia de certificados expirada será excluída automaticamente.

KMIP
Enquanto o certificado mútuo estiver expirando, para garantir que a certificação mútua não seja disruptiva, se ela for permitida no sistema remoto antes de iniciar o processo de substituição do certificado de autenticação mútua, certifique-se de que o certificado da CA que você está prestes a usar para assinar o novo certificado mútuo esteja no armazenamento confiável do servidor KMIP.

Para renovar a chave e o certificado do client, uma solicitação de assinatura de certificado (CSR) deve ser gerada no sistema PowerStore, enviada à autoridade de certificação aplicável e, em seguida, o certificado resultante (assinado) importado para o PowerStore.

Para gerar uma CSR usando o PowerStore Manager, faça o seguinte:

1. Selecione Configurações e, em Segurança, selecione KMIP.
   A página Configuração do KMIP é exibida.
2. Selecione Generate CSR.
   O painel deslizante Generate CSR é exibido.
3. Digite as informações usadas para gerar a CSR.
4. Clique em Gerar.
   O controle deslizante Generate CSR muda para mostrar as próximas etapas que devem ser seguidas juntamente com o texto do certificado.
5. Clique em Copy to clipboard para copiar o texto do certificado para a área de transferência.
6. Clique em Fechar.
7. Observe que uma entrada de certificado de autenticação mútua foi criada. Isso é usado posteriormente, ao importar o certificado assinado.
8. Faça com que a autoridade de certificação (CA) assine o certificado para que ele possa ser importado como um Certificado de autenticação mútua.
9. Para importar o certificado de autenticação mútua assinado para o PowerStore:
   1. Selecione a entrada Certificado de autenticação mútua criada quando a CSR foi gerada.
   2. Clique no botão Import e selecione Import Client Certificate
      O painel deslizante Import Client Certificate é exibido.
   3. Selecione Certificado nas Opções de importação e selecione a opção de Certificado desejada - Arquivo ou Texto - para importar o certificado.
   4. Especifique o nome do arquivo ou cole o certificado na caixa de texto e clique em Importar.

Para renovar o certificado da CA do servidor:

1. Selecione Configurações e, em Segurança, selecione KMIP.
   A página Configuração do KMIP é exibida.
2. Clique no botão Import e selecione Import Server CA certificate.
   O painel deslizante Import Client Certificate é exibido.
3. Selecione a opção Import desejada — Arquivo ou Texto — para importar o certificado.
4. Especifique o nome do arquivo ou cole o certificado na caixa de texto e clique em Importar.

Block & Importação de arquivos do armazenamento externo e backup remoto para o Data Domain

1. Renove o certificado expirado no sistema remoto.
2. Para sistemas remotos do tipo backup, a ação "Atualizar certificado" está disponível em (Proteção → sistemas remotos). (Migração → importação de armazenamento externo) é aplicável a sistemas remotos do tipo block &file import. Essas ações buscam o certificado renovado de um sistema remoto, exibem ao usuário para confirmação/aceitação e, em seguida, atualizam no PowerStore.
3. O certificado expirado ou expirado do PowerStore é automaticamente excluído do PowerStore durante a atualização do certificado renovado.

Certificado
de servidor assinado pela CA do VASANesse caso, a geração da CSR é usada para gerar o certificado de servidor do provedor VASA. Para gerar uma CSR usando o PowerStore Manager, faça o seguinte:

1. Selecione Configurações e, em Segurança, selecione Certificado de VASA.
   A página Certificado de VASA é exibida.
2. Selecione Generate CSR.
   O painel deslizante Generate CSR é exibido.
3. Digite as informações usadas para gerar a CSR.
4. Clique em Gerar.
   O controle deslizante Generate CSR muda para mostrar as próximas etapas que devem ser seguidas juntamente com o texto do certificado.
5. Clique em Copy to clipboard para copiar o texto do certificado para a área de transferência.
6. Clique em Fechar.
7. A autoridade de certificação (CA) deve assinar o certificado para que ele possa ser importado.

O vCenter deve confiar na CA do certificado que está sendo importado, caso contrário, a funcionalidade do VASA ficará indisponível. Para fazer isso, carregue no armazenamento confiável do VMware vCenter a cadeia de CA de assinatura que foi usada na etapa 7 desta subseção.

Para importar um certificado usando o PowerStore Manager, faça o seguinte:

1. Clique em Settings e, em Security, selecione VASA Certificate.
   A página Certificado de VASA é exibida.
2. Para impedir que o certificado do servidor VASA seja substituído pelo vCenter, certifique-se de que a opção Enable/Disable esteja definida como Enabled.
3. Selecione Importar.
   O painel deslizante Import Server Certificate é exibido.
4. Faça o seguinte:
   1. Selecione "Selecionar arquivo de certificado", localize e selecione o arquivo a ser importado.
   2. Selecione "Paste Certificate Text" e copie e cole o texto do certificado na caixa de texto.
5. Selecione Import.

As informações detalhadas do certificado devem ser exibidas na página Certificado de VASA. Além disso, a entrada de VASA exibida na página Certificado (Certificado de segurança > de configurações>) deve ser identificada pelo Serviço como VASA_HTTP e Escopo como vasa.

Certificados assinados pela CA do PowerStore

Há dois scripts de facilidade de manutenção para a renovação de certificado: svc_renew_vasa_self_signed_certificate e svc_renew_certificates.

svc_renew_vasa_self_signed_certificate renovar o certificado assinado pela CA do PowerStore do servidor VASA.

svc_renew_certificates renovar os certificados assinados pela CA do PowerStore, como PowerStore Cluster Server, PowerStore Cluster Client e Replication Mutual Authentication.

Uso:

[SVC:service@835ZX23-B user]$ svc_renew_vasa_self_signed_certificate -h
usage: svc_renew_vasa_self_signed_certificate [-h] [--force] [--verbose] [--debug]
                                  [--quiet]

    This tool is used to renew the` VASA Server PowerStore CA signed certificate.


optional arguments:
  -h, --help  show this help message and exit
  --force
  --verbose
  --debug
  --quiet

--------------------------------------------------------------------------------------

[SVC:service@835ZX23-B user]$ svc_renew_certificates -h

usage: svc_renew_certificates [-h] [-d] [-v] {list,run} ...

  This tool is used to renew the PowerStore CA signed certificates such as;
  PowerStore Cluster Server, PowerStore Cluster Client, and Replication Mutual Authentication Certificate

  To list the the types of certificates available:
     svc_renew_certificates list

  To renew the specific certificate, or all:
     Renew all certificates:
        svc_renew_certificates run all

     Renew the Replication Mutual Authentication Certificate:
        svc_renew_certificates run replication_mutual_authentication

     Renew the PowerStore Cluster Server Internal certificate:
        svc_renew_certificates run powerstore_cluster_server_internal

     Renew the PowerStore Cluster Server External certificate:
            svc_renew_certificates run powerstore_cluster_server_external

     Renew the PowerStore Cluster Client certificate:
            svc_renew_certificates run powerstore_cluster_server_client

optional arguments:
  -h, --help     show this help message and exit
  -d, --debug    Increase logging level to debug and print logs to console
  -v, --verbose

action:
  {list,run}
    list         List the available certificates for renewal
    run          Renews the certificate type specified for renewal, or all