Isilon: OneFS – Konfigurieren von SyncIQ-Policies für die Verwendung der SSL-Verschlüsselung

摘要: Schritte zum Erstellen, Validieren und Verwenden von SSL-Zertifikaten mit SyncIQ-Policies in 8.2 und höher.

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

In Bezug auf Dell Wissensdatenbank-Artikel 153928: DSA-2020-039: Dell Isilon OneFS: Sicherheitsupdate für eine SyncIQ-Sicherheitslücke und die Anforderung, SyncIQ zusammen mit der SSL-Verschlüsselung zu verwenden.

Im Folgenden finden Sie Schritte zur Konfiguration in einem LAB.

Anmerkung:    

  1. Die unten verwendeten Zertifikate werden in einer Übung mit dem OpenSSL-Dienstprogramm erstellt. Kunden steht es jedoch frei, basierend auf ihren spezifischen Sicherheitsanforderungen eigene Zertifikate zu verwenden.
  2. In unserem Beispiel ist die Gültigkeitsdauer auf 365 Tage (ein Jahr) festgelegt. Befolgen Sie aktuelle Branchenstandards und lokale Sicherheitsrichtlinien, wenn Sie die Gültigkeitsdauer, den Schlüsseltyp, die Schlüsselgröße und den Hashing-Algorithmus eingeben.
  3. Alle erzeugten Zertifikate, einschließlich des Zertifikats der Zertifizierungsstelle (CA), müssen über einen eindeutigen CN-Wert (Common Name) verfügen.


Verfahren:      

  1. Erstellen Sie ein selbstsigniertes CA-Zertifikat:       
Source-1# mkdir /ifs/data/Isilon_Support/synciq_certs
Source-1# chmod 700 /ifs/data/Isilon_Support/synciq_certs
Source-1# cd /ifs/data/Isilon_Support/synciq_certs
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out ca.csr -keyout ca.key
Source-1# openssl x509 -days 365 -trustout -signkey ca.key -req -in ca.csr -out ca.crt
Signature ok
subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=isilon.lab
Getting Private key
Source-1# openssl x509 -in ca.crt -outform PEM -out ca.pem
Source-1# ls ca*
ca.crt  ca.csr  ca.key  ca.pem
  1. Erstellen Sie ein Quellzertifikat namens "child cert" und signieren Sie es anhand der in Schritt 1 erstellten Zertifizierungsstelle.
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out source.csr -keyout source.key
Source-1# openssl x509 -days 365 -req -in source.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out source.crt
Signature ok
subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=source.isilon.lab
Getting CA Private Key
Source-1# openssl x509 -in source.crt -outform PEM -out source.pem
Source-1# ls source*
source.crt      source.csr      source.key      source.pem
Source-1# openssl verify -CAfile ca.pem source.pem
source.pem: OK
  1. Erstellen Sie ein Zielzertifikat namens "child cert" und signieren Sie es anhand der in Schritt 1 erstellten Zertifizierungsstelle.
Source-1# openssl req -new -newkey rsa:4096 -sha256 -nodes -out target.csr -keyout target.key
Source-1# openssl x509 -days 365 -req -in target.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out target.crt
Signature ok
subject=/C=XX/ST=Some-State/L=city/O=XXXX/OU=section/CN=target.isilon.lab
Getting CA Private Key
Source-1# openssl x509 -in target.crt -outform PEM -out target.pem
Source-1# ls target*
target.crt      target.csr      target.key      target.pem
Source-1# openssl verify -CAfile ca.pem target.pem
target.pem: OK
  1. Kopieren Sie die erforderlichen Zertifikate und Schlüssel in das Zielcluster. 
Target-1# mkdir /ifs/data/Isilon_Support/synciq_certs
Source-1# scp target.* xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs
Source-1# scp source.pem xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs
Source-1# scp ca.pem xxx.xxx.xxx.xxx:/ifs/data/Isilon_Support/synciq_certs

Auf Quellcluster:     

  1. Erstellen Sie eine SyncIQ-Policy zum Testen:     
Source-1# mkdir /ifs/data/<test-dir-name>
Source-1# isi sync policies create --name=Test_SSL --source-root-path=/ifs/data/<test-dir-name> --target-host=xxx.xxx.xxx.xxx --target-path=/ifs/data/<test-dir-name> --action=sync
  1. Importieren Sie das CA-Zertifikat in den Isilon-Zertifikatspeicher. 
Source-1# isi certificate authority import --name=CA_Sync --certificate-path=/ifs/data/Isilon_Support/synciq_certs/ca.pem 
  1. Importieren Sie das Quellzertifikat und den Schlüssel in den SyncIQ-Serverzertifikatspeicher und aktualisieren Sie dann die globale SyncIQ-Konfiguration mit der ID des importierten Zertifikats.
Source-1# isi sync certificates server import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/source.pem --certificate-key-path=/ifs/data/Isilon_Support/synciq_certs/source.key
Source-1# isi sync certificates server list -v
          ID: e0a3377a5ed27808bbd8eba759d90335060ac53dc6f4da1f15fcb6c44ac743a8
        Name:
 Description:
     Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=source.isilon.lab
      Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab
      Status: valid
  Not Before: 2020-05-03T08:27:42
   Not After: 2025-05-03T08:27:42
Fingerprints
            Type: SHA1
           Value: b5:d1:21:30:a6:b5:ed:79:65:7d:e6:e3:6f:10:a8:23:63:81:2b:1c

            Type: SHA256
           Value: e0:a3:37:7a:5e:d2:78:08:bb:d8:eb:a7:59:d9:03:35:06:0a:c5:3d:c6:f4:da:1f:15:fc:b6:c4:4a:c7:43:a8

Source-1# isi sync settings modify --cluster-certificate-id=e0a3377a5ed27808bbd8eba759d90335060ac53dc6f4da1f15fcb6c44ac743a8
  1. Importieren Sie das Zielzertifikat in den SyncIQ-Peer-Zertifikatspeicher.
Source-1# isi sync certificates peer import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/target.pem
Source-1# isi sync certificates peer list -v
          ID: 3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06
        Name:
 Description:
     Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=target.isilon.lab
      Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab
      Status: valid
  Not Before: 2020-05-03T08:43:06
   Not After: 2025-05-03T08:43:06
Fingerprints
            Type: SHA1
           Value: 8e:12:52:c1:8c:12:1d:f8:ed:cf:da:8e:3d:3c:a3:47:21:79:43:0d

            Type: SHA256
           Value: 31:80:c6:16:ba:e6:39:c2:7b:42:2f:0c:46:08:85:5d:68:88:f2:03:27:ca:85:e9:e8:69:73:3e:85:bf:5b:06
  1. Ändern der SyncIQ-Policy so, dass die ID des importierten Zielzertifikats verwendet wird
Source-1# isi sync policies modify --policy=Test_SSL --target-certificate-id=3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06

Erfasst:      

  1. Importieren Sie das CA-Zertifikat in den Isilon-Zertifikatspeicher.
Target-1# isi certificate authority import --name=CA_Sync --certificate-path=/ifs/data/Isilon_Support/synciq_certs/ca.pem
  1. Importieren Sie das Quellzertifikat in den SyncIQ-Peer-Zertifikatspeicher.
Target-1# isi sync certificates peer import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/source.pem
  1. Importieren Sie das Zielzertifikat und den Schlüssel in den Zertifikatspeicher für den SyncIQ-Server und aktualisieren Sie die globale SyncIQ-Konfiguration mit der ID des importierten Zertifikats.
Target-1# isi sync certificates server import --certificate-path=/ifs/data/Isilon_Support/synciq_certs/target.pem --certificate-key-path=/ifs/data/Isilon_Support/synciq_certs/target.key
Target-1# isi sync certificates server list -v
          ID: 3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06
        Name:
 Description:
     Subject: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=target.isilon.lab
      Issuer: C=XX, ST=Some-State, L=city, O=XXXX, OU=section, CN=isilon.lab
      Status: valid
  Not Before: 2020-05-03T08:43:06
   Not After: 2025-05-03T08:43:06
Fingerprints
            Type: SHA1
           Value: 8e:12:52:c1:8c:12:1d:f8:ed:cf:da:8e:3d:3c:a3:47:21:79:43:0d

            Type: SHA256
           Value: 31:80:c6:16:ba:e6:39:c2:7b:42:2f:0c:46:08:85:5d:68:88:f2:03:27:ca:85:e9:e8:69:73:3e:85:bf:5b:06

Target-1# isi sync settings modify --cluster-certificate-id=3180c616bae639c27b422f0c4608855d6888f20327ca85e9e869733e85bf5b06


Auf der Quelle:       

  1. Führen Sie die SyncIQ-Policy aus und vergewissern Sie sich, dass sie erfolgreich ausgeführt wird. 
Source-1# isi sync jobs start  Test_SSL
2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord: Job specified by name Test_SSL
2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Starting job 'Test_SSL' (e5fc89d623dda31b58437c86c59cbdfb)
2020-05-03T08:56:05+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Cipher being used for encryption: AES256-GCM-SHA384
...
...
...
2020-05-03T08:56:10+0000 Source-1 siq_coord[14712]coord[Test_SSL:1588496165]: Finished job 'Test_SSL' (e5fc89d623dda31b58437c86c59cbdfb) to xxx.xxx.xxx.xxx in 0h 0m 5s with status success and 0 checksum errors

Hinweise:       

  • Jedes Cluster verfügt über einZertifikat, das als Clusterzertifikat aus dem Serverspeicher fungiert "# isi sync settings modify --cluster-certificate-id."
  • Jede Policy verwendet standardmäßig das Clusterzertifikat als Quellzertifikat.
  • Aktualisieren Sie im Peer-Speicher das eindeutige Clusterzertifikat des Zielclusters.
  • Konfigurieren Sie die Policy so, dass das richtige Zertifikat des Ziels verwendet wird "imported in the peer certificate."
  • Beachten Sie den folgenden Artikel, wenn extv3 im Zertifikat verwendet wird, Dell KB-Artikel 186531: Verschlüsselte SyncIQ-Policies schlagen mit der Meldung "sslv3 alert unsupported certificate" fehl.

受影響的產品

PowerScale OneFS, Isilon SyncIQ
文章屬性
文章編號: 000021507
文章類型: How To
上次修改時間: 11 12月 2025
版本:  12
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。