Isilon: OneFS SSL 암호화를 사용하도록 SyncIQ 정책을 구성하는 방법
摘要: 8.2 이상에서 SyncIQ 정책으로 SSL 인증서를 생성, 검증 및 사용하는 방법에 대한 단계입니다.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
Dell KB 문서 153928 관련하여: DSA-2020-039: SyncIQ 취약성 및 SSL 암호화와 함께 SyncIQ를 사용하기 위한 요구 사항에 대한 Dell Isilon OneFS 보안 업데이트입니다.
다음은 LAB에서 이를 구성하는 방법에 대한 단계입니다.
메모:
- 아래에 사용된 인증서는 OpenSSL 유틸리티를 사용하여 실습에서 생성됩니다. 그러나 고객은 특정 보안 요구 사항에 따라 자체 인증서를 자유롭게 사용할 수 있습니다.
- 이 예에서는 유효 기간이 365일(1년)로 설정되어 있습니다. 최신 업계 표준 및 현지 보안 정책을 따라 유효 기간, 키 유형, 키 크기 및 해싱 알고리듬을 입력합니다.
- CA(Certificate Authority) 인증서를 포함하여 생성된 모든 인증서에는 고유한 CN(Common Name) 값이 있어야 합니다.
절차:
- CA 자체 서명 인증서를 생성합니다.
Source-1# mkdir /ifs/data/Isilon_Support/synciq_certs Source-1# chmod 700 /ifs/data/Isilon_Support/synciq_certs Source-1# cd /ifs/data/Isilon_Support/synciq_certs Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out ca.csr -keyout ca.key Source-1# openssl x509 -days 365 -trustout -signkey ca.key -req -in ca.csr -out ca.crt Signature ok subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=isilon.lab Getting Private key Source-1# openssl x509 -in ca.crt -outform PEM -out ca.pem Source-1# ls ca* ca.crt ca.csr ca.key ca.pem
- 소스 인증서 "child cert"를 만들고 1단계에서 만든 CA에 대해 서명합니다.
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out source.csr -keyout source.key Source-1# openssl x509 -days 365 -req -in source.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out source.crt Signature ok subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=source.isilon.lab Getting CA Private Key Source-1# openssl x509 -in source.crt -outform PEM -out source.pem Source-1# ls source* source.crt source.csr source.key source.pem Source-1# openssl verify -CAfile ca.pem source.pem source.pem: OK
- 타겟 인증서 "child cert"를 만들고 1단계에서 만든 CA에 대해 서명합니다.
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out target.csr -keyout target.key Source-1# openssl x509 -days 365 -req -in target.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out target.crt Signature ok subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=target.isilon.lab Getting CA Private Key Source-1# openssl x509 -in target.crt -outform PEM -out target.pem Source-1# ls target* target.crt target.csr target.key target.pem Source-1# openssl verify -CAfile ca.pem target.pem target.pem: OK
- 필요한 인증서와 키를 타겟 클러스터에 복사합니다.
Target-1# mkdir /ifs/data/Isilon_Support/synciq_certs Source-1# scp target.* xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs Source-1# scp source.pem xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs Source-1# scp ca.pem xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs
소스 클러스터:
- 테스트용 SyncIQ 정책을 생성합니다.
Source-1# mkdir /ifs/data/<test-dir-name> Source-1# isi sync policies create --name=Test_SSL --source-root-path=/ifs/data/<test-dir-name> --target-host=xxx.xxx.xxx.xxx --target-path=/ifs/data/<test-dir-name> --action=sync
- CA 인증서를 Isilon 인증서 저장소로 가져옵니다.
Source-1# isi certificate authority import --name=CA_Sync --certificate-path=/ifs/data/Isilon_Support/synciq_certs/ca.pem
- 소스 인증서와 키를 SyncIQ 서버 인증서 저장소로 가져온 다음 가져온 인증서의 ID로 전역 SyncIQ 구성을 업데이트합니다.
Source-1# isi sync certificates server import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/source.pem --certificate-key-path=/ifs/data/Isilon_Support/synciq_certs/source.key Source-1# isi sync certificates server list -v ID: e0a3377a5ed27808bbd8eba759d90335060ac53dc6f4da1f15fcb6c44ac743a8 Name: Description: Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=source.isilon.lab Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab Status: valid Not Before: 2020-05-03T08:27:42 Not After: 2025-05-03T08:27:42 Fingerprints Type: SHA1 Value: b5:d1:21:30:a6:b5:ed:79:65:7d:e6:e3:6f:10:a8:23:63:81:2b:1c Type: SHA256 Value: e0:a3:37:7a:5e:d2:78:08:bb:d8:eb:a7:59:d9:03:35:06:0a:c5:3d:c6:f4:da:1f:15:fc:b6:c4:4a:c7:43:a8 Source-1# isi sync settings modify --cluster-certificate-id=e0a3377a5ed27808bbd8eba759d90335060ac53dc6f4da1f15fcb6c44ac743a8
- 타겟 인증서를 SyncIQ 피어 인증서 저장소로 가져옵니다.
Source-1# isi sync certificates peer import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/target.pem Source-1# isi sync certificates peer list -v ID: 3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06 Name: Description: Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=target.isilon.lab Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab Status: valid Not Before: 2020-05-03T08:43:06 Not After: 2025-05-03T08:43:06 Fingerprints Type: SHA1 Value: 8e:12:52:c1:8c:12:1d:f8:ed:cf:da:8e:3d:3c:a3:47:21:79:43:0d Type: SHA256 Value: 31:80:c6:16:ba:e6:39:c2:7b:42:2f:0c:46:08:85:5d:68:88:f2:03:27:ca:85:e9:e8:69:73:3e:85:bf:5b:06
- 가져온 타겟 인증서의 ID를 사용하도록 SyncIQ 정책 수정
Source-1# isi sync policies modify --policy=Test_SSL --target-certificate-id=3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06
타겟에:
- CA 인증서를 Isilon 인증서 저장소로 가져옵니다.
Target-1# isi certificate authority import --name=CA_Sync --certificate-path=/ifs/data/Isilon_Support/synciq_certs/ca.pem
- 소스 인증서를 SyncIQ 피어 인증서 저장소로 가져옵니다.
Target-1# isi sync certificates peer import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/source.pem
- 타겟 인증서와 키를 SyncIQ 서버 인증서 저장소로 가져오고 가져온 인증서의 ID로 전역 SyncIQ 구성을 업데이트합니다.
Target-1# isi sync certificates server import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/target.pem --certificate-key-path=/ifs/data/Isilon_Support/synciq_certs/target.key Target-1# isi sync certificates server list -v ID: 3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06 Name: Description: Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=target.isilon.lab Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab Status: valid Not Before: 2020-05-03T08:43:06 Not After: 2025-05-03T08:43:06 Fingerprints Type: SHA1 Value: 8e:12:52:c1:8c:12:1d:f8:ed:cf:da:8e:3d:3c:a3:47:21:79:43:0d Type: SHA256 Value: 31:80:c6:16:ba:e6:39:c2:7b:42:2f:0c:46:08:85:5d:68:88:f2:03:27:ca:85:e9:e8:69:73:3e:85:bf:5b:06 Target-1# isi sync settings modify --cluster-certificate-id=3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06
소스:
- SyncIQ 정책을 실행하고 성공적으로 실행되고 있는지 확인합니다.
Source-1# isi sync jobs start Test_SSL 2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord: Job specified by name Test_SSL 2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Starting job 'Test_SSL' (e5fc89d623dda31b58437c86c59cbdfb) 2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Cipher being used for encryption: AES256-GCM-SHA384 ... ... ... 2020-05-03T08:56:10+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Finished job 'Test_SSL' (e5fc89d623dda31b58437c86c59cbdfb) to xxx.xxx.xxx.xxx in 0h 0m 5s with status success and 0 checksum errors
참고:
- 각 클러스터에는 서버 저장소의 클러스터 인증서 역할을 하는 인증서가 하나씩있습니다
"# isi sync settings modify --cluster-certificate-id." - 각 정책은 기본적으로 클러스터의 인증서를 소스 인증서로 사용합니다.
- 피어 저장소에서 타겟 클러스터의 고유한 클러스터 인증서를 업데이트합니다.
- 타겟의 올바른 인증서를 사용하도록 정책 구성
"imported in the peer certificate." - 인증서에 extv3이 사용된 경우 다음 문서를 고려하십시오. Dell KB 문서 186531 암호화된 SyncIQ 정책이 실패하고 "sslv3 alert unsupported certificate"가 표시됩니다.
受影响的产品
PowerScale OneFS, Isilon SyncIQ文章属性
文章编号: 000021507
文章类型: How To
上次修改时间: 11 12月 2025
版本: 12
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。