PowerVault ME4：安裝和移除自訂憑證

在 ME4 上安裝/移除自訂憑證

安裝憑證。
檢視憑證資訊。
移除自訂憑證。
僅使用 Linux 和 ME4 SSH 會話的 CLI 範例。
 

安裝憑證。

請執行下列步驟以安裝協力廠商或自我簽署的安全憑證：

1. 在 PowerVault Manager 中，準備使用 FTP 或 SFTP：

   1. 確定 ME4 系統設定網路底下系統控制器的 > 網路埠 IP 位址。

   2. 確認 ME4 系統設定服務下的 > 系統已啟用 FTP 或 SFTP 服務。如果使用 SFTP，請記錄 SFTP 設定為要使用的哪個埠。

3. 確認您打算使用的使用者在 ME4 系統設定 > 管理使用者底下擁有管理角色許可權和 FTP 或 SFTP 介面許可權。

2. 將您的憑證檔案和金鑰檔案放入可由 FTP 用戶端存取的目錄。憑證和金鑰檔案的格式必須是 PEM。如果您使用 DER 檔案，可以上傳，但無法在您重新開機控制器上的管理時使用。注意：ME4 確實支援萬用字元憑證。

3. 開啟命令提示字元 （Windows） 或終端機視窗 （UNIX），然後前往包含憑證檔案的目錄。您無法使用像 Filezilla 用戶端一樣的 UI，因為該輸入行需要在檔案名之後的命令參數。

(注意：如果啟用防火牆，Windows FTP 就無法執行被動式 FTP。它可以登入 ME4 陣列，但在嘗試傳送檔案時發生埠連線問題，出現錯誤。如果您要使用 Windows 命令列 FTP，您必須先停用 Windows 防火牆，才能啟動。）

4. 類型： sftp controller-network-address -P port or ftp controller-network-address。您必須將檔案上傳至兩個控制器，才能在兩個控制器上使用。

例如： sftp 10.235.XXX.XXX -P 1022 或 ftp 10.X.0.X。

以具有管理角色許可權和 FTP 或 SFTP 介面許可權的使用者身分登入。在這些範例中，我使用 WinSCP FTP 命令列用戶端，但如果停用 Windows 防火牆，您可以使用 Windows FTP 用戶端。您也可以使用 Linux 用戶端。  

C：\Users\Administrator\Documents\SSLIets\2048PEM > 「c：\Program Files （x86）\WinSCP\WinSCP.com」
winscp > open ftp://100.85.XXX.X
提示認證...
使用者名稱：管理
連線至 100.85.XXX.X...
密碼：
連線
啟動會話...
會話開始。
使用中的會話：[1] 100.85.XXX.X
winscp>

5. 類型： 輸入憑證檔案名稱憑證檔案， 其中憑證檔案名是您特定系統的憑證檔案名稱。您可能會收到檔案錯誤，因為憑證放入的目錄是 FTP 使用者沒有修改許可權的隱藏目錄。

winscp > 將 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |          1 KB |   0.0 KB/秒 |二進位 |100%
winscp>

6. 類型：輸入 key-file-name cert-key-file，其中 key-file-name 是您特定系統的安全金鑰檔案名稱。   

winscp > put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |          1 KB |   0.0 KB/秒 |二進位 |100%
winscp>

7. 請注意，如果在上傳這些檔案後，在陣列 FTP 網站上執行目錄清單，您將不會看到檔案。  它們會儲存在 FTP 使用者無法查看的隱藏目錄中。

winscp > ls
D--------- 0 0 ..
Lrwxrwxrwx 0 0 0 12 12 2 13：19：33 2020 .banner - >
-rw-rw-rw- 0 10 0 12 月 0 2 14：46：49 2020 0-rw-r
--r-- 0 0 0 8436 Dec 2 13：19：33 2020 README
winscp>

8. 對另一個控制器重複步驟 4、5、6 和 7。

9. 重新開機兩個管理控制器，使新的安全性憑證生效。管理控制器重新開機後，您應該能夠透過 UI 檢視憑證，如下所示，或透過 SSH 命令「show certificate」檢視憑證。

檢視憑證資訊。

根據預設，系統會為每個控制器產生唯一的 SSL 憑證。為提供最強的安全性，您可以將預設的系統產生的憑證更換為受信任憑證授權單位單位的憑證。

憑證資訊面板會顯示每個控制器儲存在系統中的使用中 SSL 憑證資訊。彈片 A 和 B 包含每個對應控制器的未格式化憑證文字。該面板也會顯示下列其中一個狀態值，以及每個憑證的建立日期：

• 客戶提供的表示控制器使用您上傳的憑證。

• 系統產生的表示控制器使用控制器所建立的使用中憑證和金鑰。

• 未知狀態-表示無法讀取控制器的憑證。這種情況最常在控制器重新開機時發生，憑證更換程式仍在進行中，或者您已在單一控制器系統中選取合作夥伴控制器的標籤。

您可以使用自己的憑證，透過 FTP 或 SFTP 上傳憑證，或使用建立憑證 CLI 命令的內容參數，以建立具有您專屬憑證內容的憑證。若要使新憑證生效，您必須先重新開機管理控制器。

若要確認憑證更換成功，且控制器使用您提供的憑證，請確定憑證狀態為客戶提供的狀態、建立日期正確，且憑證內容為預期文字。

檢視憑證資訊：

1. 在橫幅中，按一下系統面板，然後選取「顯示憑證資訊」。憑證資訊面板隨即開啟。

2. 檢視完憑證資訊後，按一下[Close] （關閉）。

在安裝憑證之前，資訊如下所示 – 系統產生：
 

安裝自己的憑證後，即會識別為「客戶提供」：

移除自訂憑證。

若要還原系統產生的憑證，並從兩個控制器移除自訂憑證，請登入每個控制器並執行命令：

# 建立憑證還原

若要使憑證變更生效，您必須在執行命令的所有控制器上重新開機管理控制器。 

僅使用 Linux 和 ME4 SSH 會話的 CLI 範例。

1. 建立憑證，並將 PEM .cer 和 .key 置於 Linux 機器上。 

2. 從 Linux 方塊上的 SSH 會話，將使用 FTP 的檔案傳輸至陣列，然後開啟 SSH 會話至陣列，以重新開機 ME4 上的兩個控制器。重新開機 ME4 管理控制器大約需要兩分鐘，您才能登入 ME4 並顯示新的憑證。注意：一個控制器可能需要比另一個更長的時間，因此在兩個控制器完全啟動之前，您可能會在系統憑證上看到一個控制器，另一個位於客戶憑證上。

在以下範例中，ME4 控制器 IP 如下：

答：  100.85.XXX.X
B：  100.85.XXX.XX8

您必須使用 FTP 將憑證和金鑰檔案上傳至兩個控制器，然後在兩個控制器上重新開機管理控制器，兩個控制器才能擁有憑證。

[grpadmin@hitle18 certs]， $pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18 certs]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certs]，ftp 100.85.239.3
連接至 100.85.239.3 （100.85.239.3）。
220-Welcome to Pure-FTPd。
220-您是允許的使用者編號 1，共 5 個。
當地時間 220：29 現在為 23：29。伺服器埠：21.220
-這是私人系統 - 此伺服器也歡迎使用匿名登入
220-IPv6 連線。
220 您將在無活動 15 分鐘後中斷連線。
名稱 （100.85.239.3：grpadmin）：manage
331 使用者管理正常。需要
密碼密碼：
230-OK。目前的受管制目錄為 /。
.
.
230-載入安全性憑證檔案的指示：
230- 1.安全性憑證檔案將由一對檔案組成。
230- 您將會有憑證檔案和金鑰檔案。
230- 2.使用使用者名稱和密碼登入。
230- 3.針對您的特定系統，輸入「put < certificate-file-name > cert-file」
230，其中 < 憑證檔案名 > 是憑證檔案
230 的名稱。
230- 4.輸入「put < key-file-name > cert-key-file」
230，其中 < key-file-name > 是230 - 您特定系統的安全金鑰檔案
名稱。
230- 5.  重新開機兩個管理控制器以擁有新的安全性
230- 憑證生效。
230-
230
遠端系統類型為 UNIX。
使用二進位模式傳輸檔案。
ftp > put 2048b-rsa-example-cert.pem cert-file
local：2048b-rsa-example-cert.pem 遠端：cert-file
227 進入被動模式 （100、85、239、3、127、0）
150 個接受的資料連線
226-檔案傳輸完成。開始作業：（2020-12-10 17：40：12）
地位：載入安全性憑證檔案
226-
226 作業完成。（2020-12-10 17：40：18）
9.4e-05 秒 （11170.21 Kbytes/sec） 傳送的 1050 位元組
ftp > put 2048b-rsa-example-keypair.pem cert-key-file
local：2048b-rsa-example-keypair.pem 遠端：cert-key-file
227 進入被動模式 （100、85、239、3、204、57）
150 個接受的資料連線
226-檔案傳輸完成。開始作業：（2020-12-10 17：40：37）
地位：載入安全性憑證檔案
驗證上傳的憑證和金鑰。

已安裝上傳的 SSL 憑證和金鑰。將控制器重新開機以套用。
226-
226 作業完成。（2020-12-10 17：40：45）
1679 位元組以 8.5e-05 秒 （19752.94 Kbytes/sec）
傳送ftp > ls
227 進入被動模式 （100,85,239,3,189,193）
150 已接受的資料聯
機-rw-rw-rw- 1 0 使用者 0 12 月 10 日 17：400-rw-r--r-- 1 0 0 8436 12 月 2 日 20：39 README
226-Options：
-我
共 226 2 個相符專案
ftp >
221-Goodbye您已上傳 3 個，並下載了 0 kbytes。
221 登出。
[grpadmin@hitle18 certs]，ftp 100.85.238.178
連接至 100.85.238.178 （100.85.238.178）。
220-Welcome to Pure-FTPd。
220-您是允許的使用者編號 1，共 5 個。
220-當地時間現在是 23：30。伺服器埠：21.220
-這是私人系統 - 此伺服器也歡迎使用匿名登入
220-IPv6 連線。
220 您將在無活動 15 分鐘後中斷連線。
名稱 （100.85.238.178：grpadmin）：manage
331 使用者管理正常。需要
密碼密碼：
230-OK。目前限制目錄為/
.
.
.
遠端系統類型為 UNIX。
使用二進位模式傳輸檔案。
ftp > put 2048b-rsa-example-cert.pem cert-file
local：2048b-rsa-example-cert.pem 遠端：cert-file
227 進入被動模式 （100、85、238、178、126、144）
150 個接受的資料連線
226-檔案傳輸完成。開始作業：（2020-12-11 23：30：22）
地位：載入安全性憑證檔案
226-
226 作業完成。（2020-12-11 23：30：28）
4.7e-05 秒 （22340.42 Kbytes/sec） 傳送的 1050 位元組
ftp > put 2048b-rsa-example-keypair.pem cert-key-file
local：2048b-rsa-example-keypair.pem 遠端：cert-key-file
227 進入被動模式 （100、85、238、178、200、227）
150 個接受的資料連線
226-檔案傳輸完成。開始作業：（2020-12-11 23：30：40）
地位：載入安全性憑證檔案
驗證上傳的憑證和金鑰。

已安裝上傳的 SSL 憑證和金鑰。將控制器重新開機以套用。
226-
226 作業完成。（2020-12-11 23：30：47）
5.2e-05 秒 （32288.46 Kbytes/sec） 傳送的 1679 位元組
ftp >
221-Goodbye您已上傳 3 個，並下載了 0 kbytes。
221 登出。
[grpadmin@hitle18 certs]， ssh manage@100.85.239.3
密碼：

DELL EMC ME4024
系統名稱：NDC-ME4
系統位置：NDC
版本：GT280R008-01
# 重新開機 mc 兩者
在重新開機程式期間，您將短暫失去與指定管理控制器的通訊。
您要繼續嗎？（y/n） y
資訊：重新開機本機 MC （A）...
成功：命令已成功完成。- 兩個 MC 都已重新開機。（2020-12-11 23：31：26）
# 已終止
連線至 100.85.239.3 已關閉。
.
.  您將需要大約 2 分鐘才能登入
陣列.  請參閱憑證
.
[grpadmin@hitle18 certs]， ssh manage@100.85.239.3
密碼：

DELL EMC ME4024
系統名稱：NDC-ME4
系統位置：NDC
版本：GT280R008-01
# 顯示憑證
錯誤：未識別命令。（2020-12-11 23：36：35）
# 顯示憑證
憑證狀態
------------------
控制器：A
憑證狀態：客戶提供
建立時間：2020-12-11 23：29：29
憑證文字：證書：
    Data:
Version: 1 （0x0）
序號：3580 （0xdfc）
簽章演算法：sha1WithRSAEncryption
發行：C=JP、ST=東京、L=Chuo-ku、O======4DD、OU=WebCert 支援、CN=Blank4DD Web CA/emailAddress=support@frank4dd.com
有效性
之前：2012 年 8 月 22 日 （05：27：41） （GMT
）之後不執行：2017 年 8 月 21 日 （GMT） 05：27：41
主題：C=JP、ST=東京、O====4DD、CN=www.example.com
主旨公開金鑰資訊：
            公開金鑰演算法：rsaEncryption
RSA 公開金鑰：（2048 位）
模：
                    00：b4：cf：d1：5e：33：29：ec：0b：cf：ae：76：f5：fe：2d：
                    c8：99：c6：78：79：b9：18：f8：0b：d4：ba：b4：d7：9e：02：
                    52：06：09：f4：18：93：4c：d4：70：d1：42：a0：29：13：92：
                    73：50：77：f6：04：89：ac：03：2c：d6：f1：06：ab：ad：6c：
                    c0：d9：d5：a6：ab：ca：cd：5a：d2：56：26：51：e5：4b：08：
                    8a：af：cc：19：0f：25：34：90：b0：2a：29：41：0f：55：f1：
                    6b：93：db：9d：b3：cc：dc：ec：eb：c7：55：18：d7：42：25：
                    de：49：35：14：32：92：9c：1e：c6：69：e3：3c：fb：f4：9a：
                    f8：fb：8b：c5：e0：1b：7e：fd：4f：25：ba：3f：e5：96：57：
                    9a：24：79：49：17：27：d7：89：4b：6a：2e：0d：87：51：d9：
                    23：3d：06：85：56：f8：58：31：0e：ee：81：99：78：68：cd：
                    6e：44：7e：c9：da：8c：5a：7b：1c：bf：24：40：29：48：d1：
                    03：9c：ef：dc：ae：2a：5d：f8：f7：6a：c7：e9：bc：c5：b0：
                    59：f6：95：fc：16：cb：d8：9c：ed：c3：fc：12：90：93：78：
                    5a：75：b4：56：83：fa：fc：41：84：f6：64：79：34：35：1c：
                    ac：7a：85：0e：73：78：72：01：e7：24：89：25：9e：da：7f：
                    65：bc：af：87：93：19：8c：db：75：15：b6：e0：30：c7：08：
                    f8：59
指數：65537 （0x10001）
簽章演算法：sha1WithRSAEncryption
40：cb：fe：04：5b：c6：74：c5：73：91：06：90：df：ff：b6：9e：85：73：
         fe：e0：0a：6f：3a：44：2f：cc：53：73：16：32：3f：79：64：39：e8：78：
         16：8c：62：49：6a：b2：e6：91：85：00：b7：4f：38：da：03：b9：81：69：
         2e：18：c9：49：96：84：c2：eb：e3：23：f4：eb：ac：68：4b：57：5a：51：
         1b：d7：eb：c0：31：6c：86：a0：f6：55：a8：f8：10：d0：42：06：1e：94：
         a5：e0：68：a7：9f：b6：f3：9c：d0：e1：22：3b：ab：85：3d：a1：27：9b：
         50：32：62：b8：ec：7a：fa：d6：7d：2b：29：e6：ad：b2：69：4d：28：b4：
         f8：13


憑證狀態
------------------
控制器：B 憑證狀態：客戶提供
建立時間：2020-12-11 23：30：22
憑證文字：證書：
    Data:
Version: 1 （0x0）
序號：3580 （0xdfc）
簽章演算法：sha1WithRSAEncryption
發行：C=JP、ST=東京、L=Chuo-ku、O======4DD、OU=WebCert 支援、CN=Blank4DD Web CA/emailAddress=support@frank4dd.com
有效性
之前：2012 年 8 月 22 日 （05：27：41） （GMT
）之後不執行：2017 年 8 月 21 日 （GMT） 05：27：41
主題：C=JP、ST=東京、O====4DD、CN=www.example.com
主旨公開金鑰資訊：
            公開金鑰演算法：rsaEncryption
RSA 公開金鑰：（2048 位）
模：
                    00：b4：cf：d1：5e：33：29：ec：0b：cf：ae：76：f5：fe：2d：
                    c8：99：c6：78：79：b9：18：f8：0b：d4：ba：b4：d7：9e：02：
                    52：06：09：f4：18：93：4c：d4：70：d1：42：a0：29：13：92：
                    73：50：77：f6：04：89：ac：03：2c：d6：f1：06：ab：ad：6c：
                    c0：d9：d5：a6：ab：ca：cd：5a：d2：56：26：51：e5：4b：08：
                    8a：af：cc：19：0f：25：34：90：b0：2a：29：41：0f：55：f1：
                    6b：93：db：9d：b3：cc：dc：ec：eb：c7：55：18：d7：42：25：
                    de：49：35：14：32：92：9c：1e：c6：69：e3：3c：fb：f4：9a：
                    f8：fb：8b：c5：e0：1b：7e：fd：4f：25：ba：3f：e5：96：57：
                    9a：24：79：49：17：27：d7：89：4b：6a：2e：0d：87：51：d9：
                    23：3d：06：85：56：f8：58：31：0e：ee：81：99：78：68：cd：
                    6e：44：7e：c9：da：8c：5a：7b：1c：bf：24：40：29：48：d1：
                    03：9c：ef：dc：ae：2a：5d：f8：f7：6a：c7：e9：bc：c5：b0：
                    59：f6：95：fc：16：cb：d8：9c：ed：c3：fc：12：90：93：78：
                    5a：75：b4：56：83：fa：fc：41：84：f6：64：79：34：35：1c：
                    ac：7a：85：0e：73：78：72：01：e7：24：89：25：9e：da：7f：
                    65：bc：af：87：93：19：8c：db：75：15：b6：e0：30：c7：08：
                    f8：59
指數：65537 （0x10001）
簽章演算法：sha1WithRSAEncryption
40：cb：fe：04：5b：c6：74：c5：73：91：06：90：df：ff：b6：9e：85：73：
         fe：e0：0a：6f：3a：44：2f：cc：53：73：16：32：3f：79：64：39：e8：78：
         16：8c：62：49：6a：b2：e6：91：85：00：b7：4f：38：da：03：b9：81：69：
         2e：18：c9：49：96：84：c2：eb：e3：23：f4：eb：ac：68：4b：57：5a：51：
         1b：d7：eb：c0：31：6c：86：a0：f6：55：a8：f8：10：d0：42：06：1e：94：
         a5：e0：68：a7：9f：b6：f3：9c：d0：e1：22：3b：ab：85：3d：a1：27：9b：
         50：32：62：b8：ec：7a：fa：d6：7d：2b：29：e6：ad：b2：69：4d：28：b4：
         f8：13


成功：命令已成功完成。（2020-12-11 23：36：41）
#