Dell Unity. Как вручную обновить SSL-сертификат управления Unity

Сводка: В этой статье объясняется, как вручную продлить SSL-сертификат управления Unity, если срок действия существующего сертификата истекает или уже истек. В нем описаны действия, необходимые для создания, установки и проверки нового сертификата управления для обеспечения безопасного доступа к интерфейсам управления Unity и предотвращения предупреждений, связанных с сертификатами, или проблем с подключением. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Инструкции

SSL-сертификат управления Unity автоматически генерируется при первоначальной настройке системы и, как правило, автоматически обновляется до истечения срока его действия. Если автоматическое продление не происходит, сертификат можно продлить вручную с помощью интерфейса пользователя (UI) Unisphere или интерфейса командной строки (CLI) Unity.

Обновление сертификата с помощью пользовательского интерфейса Unisphere

  1. В Unisphere перейдите в раздел
    Настройки → управления → IP-адрес Unisphere
  2. Измените имя хоста системы на временное и нажмите кнопку Применить.
    • Дождитесь завершения операции и того, что Unisphere снова станет доступным.
    • С использованием временного имени хоста создается новый SSL-сертификат.
  3. Снова войдите в Unisphere.
  4. Верните первоначальное значение имени хоста и нажмите Apply.
    • После завершения операции Unity создает новый SSL-сертификат, содержащий исходное имя хоста и обновленные даты действия.
Сертификат, созданный в системе Unity Unisphere (UI)

Обновление сертификата с помощью интерфейса командной строки Unity 

Прежде чем продолжить, запишите следующую информацию из Unisphere:

  • IP-адрес управления
  • Маска подсети
  • Шлюз по умолчанию
  • Имя хоста системы

Чтобы сохранить существующий IP-адрес управления, процесс продления необходимо выполнить дважды:

  • Сначала назначьте временное имя хоста.
  • Затем восстановите исходное имя хоста.


Шаг 1: Измените имя хоста на временное значение

Войдите в сервисную учетную запись Unity с помощью SSH и выполните команду:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameA
Где hostnameA Временное имя хоста, отличающееся от текущего системного имени.

Шаг 2. Восстановите исходное имя хоста

После завершения первой операции выполните команду:

svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f hostnameShow more lines
Где hostname Исходное имя хоста системы.

 

Примечание: Значения IP-адреса, маски подсети и шлюза следует заключить в кавычки.

 

Успешное выполнение обновляет имя хоста и инициирует повторное создание SSL-сертификата управления.

Пример успешного изменения имени хоста:

09:28:47 service@VSA-spa spa:~> svc_initial_config -4 "IP_ADDRESS SUBNET_MASK IP_GATEWAY" -f vm3195
Attempting to set friendly name to <vm3195>
Successfully set friendly name to <vm3195>
Validating address IP.xxx.xx.xxx format ... Pass
Validating address GW.xxx.xx.xxx format ... Pass
Validating address Subnet.xxx.xx.xxx format ... Pass
Validating IP and Gateway subnet with Mask ... Pass
Successfully configured network with parameters <static IP_ADDRESS SUBNET_MASK IP_GATEWAY>

Поиск и устранение неисправностей

Автоматическое и ручное продление сертификата может завершиться сбоем, если существует следующий файл:

/EMC/backend/CEM/ssl/.doNotGenerateCert

Проверьте его наличие, выполнив команду:

ls -al /EMC/backend/CEM/ssl/

Если .doNotGenerateCert присутствует, генерация сертификата заблокирована.

Пример.

18:45:22 service@xxx spb:~/user# ls -al /EMC/backend/CEM/ssl/
total 40
drwxr-xr-x  2 root root 4096 Jul  2 19:13 .
drwxr-xr-x 21 ecom c4   4096 Apr  9 01:21 ..
-rw-r--r--  1 root root   90 May 31  2025 .doNotGenerateCert     <<<<<<<<<<<<<<<<<<<
-r--r--r--  1 root root 9060 Jul  2 19:13 cert_config.cnf
-rw-r--r--  1 root root   41 Apr  3  2025 currentSubjectAltName
-rw-------  1 ecom root 1679 May 31  2025 ecomtls-rsa.pk
-rw-r--r--  1 root root 2086 May 31  2025 ecomtls.crt
-rw-------  1 root root 1704 May 31  2025 ecomtls.pk

Решение

Если .doNotGenerateCert file exist, обратитесь в службу технической поддержки Dell и укажите идентификатор этой статьи. Служба поддержки может помочь с переименованием файла, чтобы можно было успешно выполнить обновление SSL-сертификата вручную.

Дополнительная информация

Руководство по настройке безопасности семейства Dell Unity 5.5.3 (требуется вход в качестве зарегистрированного пользователя службы поддержки Dell)

[Выдержка со страницы: 37 вышеупомянутого документа]

Система хранения автоматически создает самозаверяющий сертификат при первой инициализации. Сертификат сохраняется как в NVRAM, так и во внутреннем LUN. Позже система хранения предъявит его клиенту, когда клиент попытается подключиться к системе хранения через порт управления. 

Срок действия сертификата истекает через 3 года; Однако система хранения повторно создает сертификат за месяц до истечения срока его действия. Кроме того, можно загрузить новый сертификат с помощью команды svc_custom_cert service . Эта команда устанавливает указанный сертификат SSL в PEM для использования с интерфейсом управления Unisphere. Дополнительные сведения об этой сервисной команде см. в документе Технические заметки к сервисным командам. Сертификат нельзя просмотреть с помощью Unisphere или интерфейса командной строки Unisphere CLI. Однако сертификат можно просмотреть с помощью клиента браузера или веб-инструмента, который пытается подключиться к порту управления.

 

Примечание: Когда массив находится в FIPS и сертификат генерируется вне дискового массива, в дополнение к сертификату, находящемуся в PEM формат, закрытый ключ должен быть в PKCS#1 Формат. Для этого преобразования можно использовать команду OpenSSL. После того, как .cer и .pk файлов, этот дополнительный шаг необходим, если сертификат используется в массиве в FIPS производительности.

 

Для повышения безопасности некоторые организации используют построение цепочки сертификатов центра сертификации. Построение цепочки сертификатов связывает вместе от двух сертификатов центра сертификации. Основной сертификат центра сертификации — это корневой сертификат, расположенный в конце цепочки. Поскольку системе требуется полная цепочка сертификатов для проверки подлинности полученного сертификата, спросите администратора сервера каталогов, используется ли цепочка сертификатов. Если это так, необходимо сцепить все соответствующие сертификаты в один файл и переслать эту версию. Сертификат должен быть в PEM/Base64 encoded format и используйте суффикс .cer.

Как проверить срок действия SSL-сертификата

Дату истечения срока действия сертификата можно проверить с помощью команды: 

uemcli -u <Unisphere login ID> -p <Unisphere login PW> /sys/cert show

Установите флажок "Valid to" даты. Здесь указана дата истечения срока действия SSL-сертификата.

Срок действия сертификата также можно проверить с помощью веб-браузера.

  1. Откройте Google Chrome и получите доступ к пользовательскому интерфейсу Unisphere.
  2. Откройте меню Chrome и выберите Дополнительные инструменты > Средства разработчика.
  3. Перейдите на вкладку Security и нажмите View Certificate.
  4. Просмотрите поле Срок действия сертификата, чтобы определить дату истечения срока действия сертификата.

Затронутые продукты

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE)

Продукты

Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
Свойства статьи
Номер статьи: 000022509
Тип статьи: How To
Последнее изменение: 15 Jul 2026
Версия:  9
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.