Dell Unity. Как вручную обновить SSL-сертификат управления Unity
Сводка: В этой статье объясняется, как вручную продлить SSL-сертификат управления Unity, если срок действия существующего сертификата истекает или уже истек. В нем описаны действия, необходимые для создания, установки и проверки нового сертификата управления для обеспечения безопасного доступа к интерфейсам управления Unity и предотвращения предупреждений, связанных с сертификатами, или проблем с подключением. ...
Инструкции
SSL-сертификат управления Unity автоматически генерируется при первоначальной настройке системы и, как правило, автоматически обновляется до истечения срока его действия. Если автоматическое продление не происходит, сертификат можно продлить вручную с помощью интерфейса пользователя (UI) Unisphere или интерфейса командной строки (CLI) Unity.
Обновление сертификата с помощью пользовательского интерфейса Unisphere
- В Unisphere перейдите в раздел
Настройки → управления → IP-адрес Unisphere - Измените имя хоста системы на временное и нажмите кнопку Применить.
- Дождитесь завершения операции и того, что Unisphere снова станет доступным.
- С использованием временного имени хоста создается новый SSL-сертификат.
- Снова войдите в Unisphere.
- Верните первоначальное значение имени хоста и нажмите Apply.
- После завершения операции Unity создает новый SSL-сертификат, содержащий исходное имя хоста и обновленные даты действия.
Обновление сертификата с помощью интерфейса командной строки Unity
Прежде чем продолжить, запишите следующую информацию из Unisphere:
- IP-адрес управления
- Маска подсети
- Шлюз по умолчанию
- Имя хоста системы
Чтобы сохранить существующий IP-адрес управления, процесс продления необходимо выполнить дважды:
- Сначала назначьте временное имя хоста.
- Затем восстановите исходное имя хоста.
Шаг 1: Измените имя хоста на временное значение
Войдите в сервисную учетную запись Unity с помощью SSH и выполните команду:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
hostnameA Временное имя хоста, отличающееся от текущего системного имени.
Шаг 2. Восстановите исходное имя хоста
После завершения первой операции выполните команду:
svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
hostname Исходное имя хоста системы.
Успешное выполнение обновляет имя хоста и инициирует повторное создание SSL-сертификата управления.
Пример успешного изменения имени хоста:
09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195 Attempting to set friendly name to <vm3195> Successfully set friendly name to <vm3195> Validating address IP.xxx.xx.xxx format ... Pass Validating address GW.xxx.xx.xxx format ... Pass Validating address Subnet.xxx.xx.xxx format ... Pass Validating IP and Gateway subnet with Mask ... Pass Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>
Поиск и устранение неисправностей
Автоматическое и ручное продление сертификата может завершиться сбоем, если существует следующий файл:
/EMC/backend/CEM/ssl/.doNotGenerateCert
Проверьте его наличие, выполнив команду:
ls -al /EMC/backend/CEM/ssl/
Если .doNotGenerateCert присутствует, генерация сертификата заблокирована.
Пример.
18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x 2 root root 4096 Jul 2 19:13 .
drwxr-xr-x 21 ecom c4 4096 Apr 9 01:21 ..
-rw-r--r-- 1 root root 90 May 31 2025 .doNotGenerateCert <<<<<<<<<<<<<<<<<<<
-r--r--r-- 1 root root 9060 Jul 2 19:13 cert_config.cnf
-rw-r--r-- 1 root root 41 Apr 3 2025 currentSubjectAltName
-rw------- 1 ecom root 1679 May 31 2025 ecomtls-rsa.pk
-rw-r--r-- 1 root root 2086 May 31 2025 ecomtls.crt
-rw------- 1 root root 1704 May 31 2025 ecomtls.pk
Решение
Если .doNotGenerateCert file exist, обратитесь в службу технической поддержки Dell и укажите идентификатор этой статьи. Служба поддержки может помочь с переименованием файла, чтобы можно было успешно выполнить обновление SSL-сертификата вручную.
Дополнительная информация
Руководство по настройке безопасности семейства Dell Unity 5.5.3 (требуется вход в качестве зарегистрированного пользователя службы поддержки Dell)
[Выдержка со страницы: 37 вышеупомянутого документа]
Система хранения автоматически создает самозаверяющий сертификат при первой инициализации. Сертификат сохраняется как в NVRAM, так и во внутреннем LUN. Позже система хранения предъявит его клиенту, когда клиент попытается подключиться к системе хранения через порт управления.
Срок действия сертификата истекает через 3 года; Однако система хранения повторно создает сертификат за месяц до истечения срока его действия. Кроме того, можно загрузить новый сертификат с помощью команды
svc_custom_cert service. Эта команда устанавливает указанный сертификат SSL вPEMдля использования с интерфейсом управления Unisphere. Дополнительные сведения об этой сервисной команде см. в документе Технические заметки к сервисным командам. Сертификат нельзя просмотреть с помощью Unisphere или интерфейса командной строки Unisphere CLI. Однако сертификат можно просмотреть с помощью клиента браузера или веб-инструмента, который пытается подключиться к порту управления.
Примечание: Когда массив находится вFIPSи сертификат генерируется вне дискового массива, в дополнение к сертификату, находящемуся вPEMформат, закрытый ключ должен быть вPKCS#1Формат. Для этого преобразования можно использовать команду OpenSSL. После того, как.cerи.pkфайлов, этот дополнительный шаг необходим, если сертификат используется в массиве вFIPSпроизводительности.
Для повышения безопасности некоторые организации используют построение цепочки сертификатов центра сертификации. Построение цепочки сертификатов связывает вместе от двух сертификатов центра сертификации. Основной сертификат центра сертификации — это корневой сертификат, расположенный в конце цепочки. Поскольку системе требуется полная цепочка сертификатов для проверки подлинности полученного сертификата, спросите администратора сервера каталогов, используется ли цепочка сертификатов. Если это так, необходимо сцепить все соответствующие сертификаты в один файл и переслать эту версию. Сертификат должен быть в
PEM/Base64 encoded formatи используйте суффикс.cer.
Как проверить срок действия SSL-сертификата
Дату истечения срока действия сертификата можно проверить с помощью команды:
uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show
Установите флажок "Valid to" даты. Здесь указана дата истечения срока действия SSL-сертификата.
Срок действия сертификата также можно проверить с помощью веб-браузера.
- Откройте Google Chrome и получите доступ к пользовательскому интерфейсу Unisphere.
- Откройте меню Chrome и выберите Дополнительные инструменты > Средства разработчика.
- Перейдите на вкладку Security и нажмите View Certificate.
- Просмотрите поле Срок действия сертификата, чтобы определить дату истечения срока действия сертификата.