PowerStore：憑證續約程序

背景

當憑證即將到期或憑證自動續約失敗時，會出現憑證到期警示。

• 若為使用者匯入的憑證，使用者必須上傳新憑證以取代即將到期的憑證。
• 對於自動續訂的證書，如果失敗，則必須使用恢復腳本手動續訂證書。

PowerStore 使用憑證來驗證和確認與外部系統的 TLS 連線。憑證在特定期限內有效，通常為一年或更長時間。當憑證到期時，關聯的服務可能會停止運作，或以降級模式執行。

為了防止服務影響，必須監視證書過期，以使用戶有時間在舊證書過期之前獲取和安裝新證書。

PowerStoreOS 版本 4.1.0.0 （或更新版本） 會自動監控憑證是否到期，每午夜 （UTC） 檢查一次。當發現憑證即將到期時，PowerStore 會產生警示，視憑證是內部產生和簽署 （由 PowerStore CA） 或由私人 CA 簽署並由使用者匯入而定。

注意：一般來說，PowerStore 不支援第三方 CA 簽署 GUI 憑證。瀏覽器論壇禁止 CA 簽署憑證中含有受限制 IP 的憑證，由於私人 IP 包含在限制清單中，而且也是 PowerStore 憑證中的需求，CA 會拒絕要求。獲得由第三方 CA 簽名的證書的唯一可能性是用於 ISP 或 IANA 提供的管理網路公共 IP。

本文是指由私有企業 CA 簽名的證書（例如，使用 OpenSSL、Microsoft CA 或類似內容） 

私人憑證頒發機構簽署的憑證

當 PowerStore 判斷 CA 簽署的憑證即將到期時，會產生警示。

產生的警示：

• 當憑證在 30 天後到期且尚未匯入新憑證時，會發出次要警示
• 當憑證在 15 天後到期且尚未匯入新憑證時發出重大警示
• 當憑證在 7 天後到期且尚未匯入新憑證時發出嚴重警示
• 當憑證到期且尚未匯入新憑證時發出嚴重警示

PowerStore CA 簽署的憑證

PowerStore CA 簽署的憑證會在 90 天後到期時自動續約。如果自動續約失敗，PowerStore 會嘗試每 24 小時更新一次憑證，直到續約成功為止。

產生的警示：

• 自動續約在到期前 90 天失敗時發出的主要警示
• 自動續約在到期前 60 天失敗時發出的主要警示
• 自動續約在到期前 30 天失敗時發出嚴重警示
• 憑證到期時發出嚴重警示

解決的步驟：

私人 CA 簽署憑證

以下說明各項服務的步驟。成功上傳新憑證後，系統會自動確認一或多個警示。

PowerStore 叢集和 GUI 憑證

1.更換 PowerStore 叢集 CA 簽署伺服器憑證的一般步驟：

1. 若要產生 CSR 以匯入私人認證機構 （CA） 簽署的伺服器憑證：

   步驟

   1. 選取 設定 ，然後在安全性底下選取 已簽署叢集憑證。
   2. 選取 產生 CSR。
      此時將顯示「生成 CSR」幻燈片。
   3. 輸入用於產生 CSR 的資訊。
   4. 按 一下產生。
      「產生 CSR」滑出變更可連同憑證文字一起顯示必須採取的後續步驟。
   5. 按一下複製到剪貼簿，將憑證文字複製到剪貼簿。
   6. 按一下關閉。
   7. 由認證機構 (CA) 簽署憑證，以便可以將其作為相互驗證憑證匯入。

2. 若要使用 PowerStore Manager 匯入已簽署的叢集憑證：

   步驟

   1. 選取 設定 ，然後在安全性底下選取 已簽署叢集憑證。
      簽署的叢集憑證頁面隨即顯示。
   2. 選取匯入。
   3. 請執行下列其中一項動作：
      • 選取「選取認證檔案」，然後找到並選取要匯入的檔案。
      • 選取「貼上憑證文字」，然後將憑證文字複製並貼上至文字方塊。
   4. 選取匯入。

2.管理 HTTP 服務即將到期：

1. 請依 照GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate 更換 PowerStore 叢集第三方伺服器憑證。
2. 如果本地群集正在參與複製關係，請確保複製連接仍然正常。

3.管理 HTTP 服務已到期：

1. 如果本機叢集未處於複寫關係，請按照 GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate 手動更新憑證。

2. 如果本地群集處於複製關係中，此時，您很可能會看到兩個群集之間的管理連接已斷開。（即使未顯示為中斷，建立新的 TLS 連線後，連線狀態也會更新為已中斷。）執行以下三個步驟：

   1. 執行 pstcli ，將本機叢集的伺服器憑證重設為簽署的預設 PowerStore CA。

      pstcli -user <<username>>  -password <<Password>> -destination localClusterIP /x509_certificate reset_certificates -service Management_HTTP -scope External

   2. 執行 pstcli 交換 以重新建立複寫管理連線。（務必恢復複寫連線）

      pstcli -user admin -password <<Password>> -destination localClusterIP /x509_certificate exchange -address remoteClusterIP -port 443 -service Replication_HTTP -username <<username>> -password <<Password>>

   3. 請依 照GeneralSteps_for_Replacing_PowerStore_cluster_Third_Party_Server_Certificate 重新整理憑證。

複寫 CA 伺服器

1. 如果遠端系統上的 CA 即將到期，請按照 Management_HTTP_service_is_expiring 刷新遠端系統上的伺服器證書，它會自動續訂複製 CA 伺服器。
2. 萬一 CA 已到期，在遠端系統上，依 照Management_HTTP_service_has_expired 重新整理遠端系統上的伺服器憑證，它會自動續約複寫 CA 伺服器。

SecurID

1. 依序選取 設定 和安全性下的 驗證，然後選取 RSA SecurID 標籤。
2. 若要匯入新的 CA 憑證鏈以取代 PowerStore 使用的現有 CA 憑證，請按一下憑證表格上方畫面左側 的匯入 ：
3. 選取並匯入憑證檔案，或將憑證文字 （PEM 格式） 貼至匯入 RSA SecurID 憑證滑出面板。
   注意：如果鏈中有多個 CA 證書，則應按升序將它們全部導入到單個證書檔或文本塊中;例如，根 CA 證書應為最後一個。如果作為文本塊導入，請在一個證書的末尾和下一個證書的開頭之間添加回車符。

4. 支援多個證書，因此現有的 CA 證書將一直保留到過期。當現有 CA 證書過期並已導入替換證書時，它會自動刪除。

   為了支援平滑的 CA 證書滾動更新，我們支援多個 CA 證書共存。為了確保程序順利進行，在 CA 憑證到期之前：

   1. 先將新的 CA 憑證上傳到 PowerStore，再切換至新的 CA 憑證，在 SecurID 伺服器上簽署伺服器憑證。
   2. 在 SecurID 伺服器上，切換至使用新的 CA 簽署伺服器憑證。

路易達普斯
設定 LDAPS 後，PowerStore 會使用 TLS 連線至 LDAP 伺服器。PowerStore 需要上傳 CA 憑證鏈結檔案，才能在建立 TLS 工作階段時，正確驗證從 LDAP 伺服器收到的伺服器憑證。

1. 步驟：

   注意：如果證書鏈中有多個 CA 證書，則應按升序將它們全部導入到單個證書檔中;例如，根 CA 證書應為最後一個。
   1. 選取 設定 ，然後在安全性下，選取 驗證。然後選取 LDAP 標籤。
   2. 按一下憑證表上方畫面左側 的匯入 。

      隨即會顯示「上傳檔案」對話方塊。

   3. 按一下 Choose File。
   4. 瀏覽至所要的憑證檔案，然後選取檔案並按一下開啟。
   5. 檔案上傳完成後，按一下套用以儲存組態變更。

2. 支援多個證書，因此現有的 CA 證書將一直保留到過期。當現有 CA 證書過期並已導入替換證書時，它會自動刪除。

   為了支援平滑的 CA 證書滾動更新，我們支援多個 CA 證書共存。為了確保程序順利進行，在 CA 憑證到期之前：

   1. 先將新的 CA 憑證上傳至 PowerStore，再切換至 LDAP 伺服器上的新 CA 憑證簽署伺服器憑證。
   2. 在 LDAP 伺服器上，切換至使用新的 CA 簽署伺服器憑證。

遠端系統記錄

1. 客戶可以匯入伺服器 CA 憑證以進行單向驗證，和/或相互驗證憑證以進行雙向驗證。TLS 加密需要伺服器 CA 憑證。

2. 若要使用 PowerStore Manager 匯入憑證，請執行下列步驟：

   步驟：

   1. 按一下 設定 ，然後在安全性下選取 遠端記錄。
      此時將顯示「遠端紀錄記錄」 頁。
   2. 在「證書」下，選擇 「導入」， 然後選擇要導入的證書類型。
      個別憑證的滑出視窗隨即顯示。
   3. 請執行下列其中一項動作：
      • 選取「選取認證檔案」，然後找到並選取要匯入的檔案。
      • 選取「Paste 憑證檔案」，然後將憑證文字複製並貼上至文字方塊。
   4. 選取 匯入。
      憑證應會出現在「憑證」下的清單中。

3. 當相互證書過期時，為確保互助證書不會中斷續訂，如果在開始替換相互身份驗證證書的過程之前遠端系統上允許該證書，請確保即將用於簽署新共同證書的 CA 證書位於遠端 sys 日誌的信任存儲中。

4. 產生 CSR 適用於相互驗證憑證，該憑證用於 PowerStore 和遠端 syslog 伺服器之間的雙向驗證。若要使用 PowerStore Manager 產生 CSR，請執行下列步驟：

   步驟：

   1. 選擇 “設置 ”，然後在“安全性”下選擇 “遠端日誌記錄”。
      此時將顯示「遠端紀錄記錄」 頁。
   2. 選取 產生 CSR。
      此時將顯示「生成 CSR」幻燈片。
   3. 輸入用於產生 CSR 的資訊。
   4. 按 一下產生。
      「產生 CSR」滑出變更可連同憑證文字一起顯示必須採取的後續步驟。
   5. 按下 複製到 剪貼簿，將證書文本複製到剪貼簿。
   6. 按一下關閉。
   7. 由認證機構 (CA) 簽署憑證，以便可以將其作為相互驗證憑證匯入。
   8. 將已簽署的相互驗證憑證 （用戶端 CA 憑證） 匯入 PowerStore。

5. CA 伺服器證書支援多個證書鏈，但僅使用最新的證書。被更高版本的 CA 證書鏈取代的現有 CA 證書鏈將一直保留到過期。如果現有 CA 證書鏈已過期，並且已導入替換證書鏈，則會自動刪除過期的證書鏈。

KMIP
當共同證書到期時，為確保互助證書不會中斷續訂，如果在開始替換相互身份驗證證書的過程之前遠端系統上允許該證書，請確保您將用於簽署新互助證書的 CA 證書位於 KMIP 伺服器的信任存儲中。

若要更新用戶端金鑰和憑證，必須在 PowerStore 系統上產生憑證簽署要求 （CSR），將其傳送至適用的認證機構，然後將產生的 （簽署） 憑證匯入 PowerStore。

若要使用 PowerStore Manager 產生 CSR，請執行下列步驟：

1. 選取 設定 ，然後在安全性下選取 KMIP。
   此時將顯示 KMIP 配置頁面。
2. 選取 產生 CSR。
   此時將顯示「生成 CSR」幻燈片。
3. 輸入用於產生 CSR 的資訊。
4. 按 一下產生。
   「產生 CSR」滑出變更可連同憑證文字一起顯示必須採取的後續步驟。
5. 按一下複製到剪貼簿，將憑證文字複製到剪貼簿。
6. 按一下關閉。
7. 請注意，已創建相互身份驗證證書條目。稍後匯入已簽署憑證時會使用此功能。
8. 由認證機構 (CA) 簽署憑證，以便可以將其作為相互驗證憑證匯入。
9. 若要將已簽署相互驗證憑證匯入 PowerStore：
   1. 選取產生 CSR 時建立的相互驗證憑證項目。
   2. 按一下 匯入 按鈕，然後選取 匯入用戶端憑證
      此時將顯示「匯入用戶端憑證」滑出。
   3. 從匯入選項中選取 憑證 ，然後選取所需的憑證選項 （ 檔案 或 文字 ） 以匯入憑證。
   4. 指定檔名或將證書粘貼到文字框中，然後按兩下 導入。

若要續訂伺服器 CA 憑證：

1. 選取 設定 ，然後在安全性下選取 KMIP。
   此時將顯示 KMIP 配置頁面。
2. 按一下匯入按鈕，然後選取匯入伺服器 CA 憑證。
   此時將顯示「導入客戶端證書」滑出。
3. 選取想要的匯入選項 （ 檔案 或 文字 ） 以匯入憑證。
4. 指定檔名或將證書粘貼到文字框中，然後按兩下 導入。

從外部儲存裝置及遠端備份至 Data Domain 的區塊與檔案匯入

1. 續訂遠端系統上過期的證書。
2. 針對遠端備份類型遠端系統，「更新憑證」動作可在「（保護→遠端系統）」中執行。（遷移→匯入外部儲存） 適用於區塊 &; 檔案匯入類型遠端系統。這些動作會從遠端系統擷取更新的憑證，向使用者顯示以進行確認/驗收，然後在 PowerStore 中更新。
3. 更新更新的憑證時，PowerStore 即將到期或到期的憑證會自動從 PowerStore 刪除。

VASA CA 簽署的伺服器憑證
在這種情況下，產生 CSR 會用於產生 VASA 提供者的伺服器憑證。若要使用 PowerStore Manager 產生 CSR，請執行下列步驟：

1. 選取 設定 ，然後在安全性底下選取 VASA 憑證。
   VASA 憑證頁面隨即顯示。
2. 選取 產生 CSR。
   此時將顯示「生成 CSR」幻燈片。
3. 輸入用於產生 CSR 的資訊。
4. 按 一下產生。
   「產生 CSR」滑出變更可連同憑證文字一起顯示必須採取的後續步驟。
5. 按一下複製到剪貼簿，將憑證文字複製到剪貼簿。
6. 按一下關閉。
7. 證書頒發機構 （CA） 必須對證書進行簽名，以便可以導入證書。

vCenter 必須信任要匯入的憑證 CA，否則將無法使用 VASA 功能。若要完成此作業，請將在本小節步驟 7 中使用的簽署 CA 鏈結上傳至 VMware vCenter 信任存放區。

若要使用 PowerStore Manager 匯入憑證，請執行下列步驟：

1. 按一下 設定 ，然後在安全性底下選取 VASA 憑證。
   VASA 憑證頁面隨即顯示。
2. 為防止 VASA 伺服器憑證被 vCenter 覆寫，請確定啟用 /停用 切換 設為啟用。
3. 選取 匯入。
   此時將顯示「導入伺服器證書」幻燈片。
4. 請執行下列其中一項動作：
   1. 選取「選取認證檔案」，然後找到並選取要匯入的檔案。
   2. 選取「Paste 憑證文字」，然後將憑證文字複製並貼上至文字方塊。
5. 選取匯入。

憑證詳細資訊應會顯示在 VASA 憑證頁面中。此外，出現在「憑證」頁面 （「設定 > 安全性 > 憑證」） 上的 VASA 項目應由服務識別為「VASA_HTTP」，範圍應識別為 VASA。

PowerStore CA 簽署的憑證

憑證更新有兩個服務性指令檔： svc_renew_vasa_self_signed_certificate 和 svc_renew_certificates。

svc_renew_vasa_self_signed_certificate 更新 VASA 伺服器 PowerStore CA 簽署憑證。

svc_renew_certificates 更新 PowerStore CA 簽署的憑證，例如 PowerStore 叢集伺服器、PowerStore 叢集用戶端和複寫相互驗證。

使用方法：

[SVC:service@835ZX23-B user]$ svc_renew_vasa_self_signed_certificate -h
usage: svc_renew_vasa_self_signed_certificate [-h] [--force] [--verbose] [--debug]
                                  [--quiet]

    This tool is used to renew the` VASA Server PowerStore CA signed certificate.


optional arguments:
  -h, --help  show this help message and exit
  --force
  --verbose
  --debug
  --quiet

--------------------------------------------------------------------------------------

[SVC:service@835ZX23-B user]$ svc_renew_certificates -h

usage: svc_renew_certificates [-h] [-d] [-v] {list,run} ...

  This tool is used to renew the PowerStore CA signed certificates such as;
  PowerStore Cluster Server, PowerStore Cluster Client, and Replication Mutual Authentication Certificate

  To list the the types of certificates available:
     svc_renew_certificates list

  To renew the specific certificate, or all:
     Renew all certificates:
        svc_renew_certificates run all

     Renew the Replication Mutual Authentication Certificate:
        svc_renew_certificates run replication_mutual_authentication

     Renew the PowerStore Cluster Server Internal certificate:
        svc_renew_certificates run powerstore_cluster_server_internal

     Renew the PowerStore Cluster Server External certificate:
            svc_renew_certificates run powerstore_cluster_server_external

     Renew the PowerStore Cluster Client certificate:
            svc_renew_certificates run powerstore_cluster_server_client

optional arguments:
  -h, --help     show this help message and exit
  -d, --debug    Increase logging level to debug and print logs to console
  -v, --verbose

action:
  {list,run}
    list         List the available certificates for renewal
    run          Renews the certificate type specified for renewal, or all