PowerVault ME4: Instalowanie i usuwanie niestandardowych certyfikatów

Instalowanie/usuwanie niestandardowych certyfikatów na me4

Instalowanie certyfikatu.
Wyświetlanie informacji o certyfikatach.
Usuwanie niestandardowych certyfikatów.
Przykład tylko interfejsu wiersza poleceń przy użyciu sesji SSH dla systemów Linux i ME4.
 

Instalowanie certyfikatu.

Wykonaj następujące czynności, aby zainstalować certyfikat zabezpieczeń innej firmy lub z podpisem własnym:

1. W programie PowerVault Manager przygotuj się do korzystania z protokołu FTP lub SFTP:

   1. Określ adresy IP portów sieciowych kontrolerów systemu w sieci ustawień > systemu ME4.

   2. Sprawdź, czy usługa FTP lub SFTP jest włączona w systemie w ramach Usług ustawień > systemu ME4. W przypadku korzystania z protokołu SFTP zapisz, który port SFTP ma być używany.

3. Sprawdź, czy użytkownik, którego zamierzasz używać, ma uprawnienia do zarządzania rolami i uprawnienia interfejsu FTP lub SFTP w obszarze Ustawienia > systemu ME4 Zarządzaj użytkownikami.

2. Umieść plik certyfikatu i plik klucza w katalogu dostępnym dla klienta FTP. Format certyfikatu i pliku klucza musi być PEM. W przypadku korzystania z plików WYŁ. można je przesłać, ale nie można ich używać po ponownym uruchomieniu zarządzania kontrolerami. Uwaga: Me4 obsługuje certyfikaty z symbolami wild card.

3. Otwórz wiersz polecenia (Windows) lub okno terminala (UNIX) i przejdź do katalogu zawierającego pliki certyfikatów. Nie można korzystać z interfejsu użytkownika takiego jak klient Filezilla, ponieważ wiersz polecenia wymaga parametrów polecenia po nazwie pliku.

(Uwaga: FtP systemu Windows nie może wykonywać pasywnego protokołu FTP, jeśli zapora jest włączona. Może być w stanie zalogować się do macierzy ME4, ale następuje błąd związany z połączeniem portu podczas próby wysłania plików. Jeśli chcesz korzystać z wiersza poleceń systemu Windows FTP, przed uruchomieniem należy wyłączyć zaporę systemu Windows).

4. Wpisz: sftp controller-network-address -P port or ftp controller-network-address. Aby można było ich używać na obu kontrolerach, należy przesłać pliki do obu kontrolerów.

Na przykład: sftp 10.235.XXX.XXX -P 1022 lub ftp 10.X.0.X X.

Zaloguj się jako użytkownik z uprawnieniami do zarządzania rolami i uprawnieniami interfejsu FTP lub SFTP. W tych przykładach użyto klienta wiersza poleceń FTP WinSCP, ale po wyłączeniu zapory systemu Windows można korzystać z klienta FTP systemu Windows. Można również użyć klienta Linux.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
monit o poświadczenia...
Nazwa użytkownika: zarządzaj
nawiązywaniem połączenia z 100.85.XXX.X...
Hasło:
uruchamianie sesji przy użyciu połączenia
...
Sesja została rozpoczęta.
Aktywna sesja: [1] 100.85.XXX.X
winscp>

5. Wpisz polecenie : put certificate-file-name cert-file , gdzie nazwa pliku certyfikatu to nazwa pliku certyfikatu dla określonego systemu. Może zostać wyświetlony błąd pliku, ponieważ katalog wprowadzony do certyfikatu jest ukrytym katalogiem, w którym użytkownik FTP nie ma uprawnień do modyfikacji.

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 KB |    0,0 KB/s | Plik binarny | 100%
winscp>

6. Wpisz: "put key-file-name cert-key-file", gdzie nazwa pliku klucza to nazwa pliku klucza zabezpieczeń dla danego systemu.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 KB |    0,0 KB/s | Plik binarny | 100%
winscp>

7. Uwaga: jeśli katalog znajduje się na stronie FTP macierzy po przesłaniu tych plików, pliki te nie zostaną wyświetlone.  Są one przechowywane w ukrytych katalogach, których nie może sprawdzić użytkownik FTP.

winscp> ls
D--------- 0 0..
Lrwxrwxrwx 0 0 0 12 grudnia 2 13:19:33 2020 .banner ->
-rw-rw-rw- 0 10 0 Grudnia 2 14:46:49 2020 0-rw-r
--r-- 0 0 8436 2 grudnia 13:19:33 2020 readme
winscp>

8. Powtórz kroki 4, 5, 6 i 7 dla drugiego kontrolera.

9. Uruchom ponownie oba kontrolery zarządzania, aby nowy certyfikat zabezpieczeń został zastosowany. Po ponownym uruchomieniu kontrolerów zarządzania certyfikat powinien być widoczny w interfejsie użytkownika w sposób przedstawiony poniżej lub za pomocą polecenia SSH "show certificate".

Wyświetlanie informacji o certyfikatach.

Domyślnie system generuje unikatowy certyfikat SSL dla każdego kontrolera. Aby uzyskać najsilniejsze zabezpieczenia, można zastąpić domyślny certyfikat wygenerowany przez system certyfikat certyfikatem wystawionym przez zaufany urząd certyfikacji.

Panel Informacje o certyfikatach zawiera informacje o aktywnych certyfikatach SSL przechowywanych w systemie dla każdego kontrolera. Karty A i B zawierają niesformatowany tekst certyfikatu dla każdego z odpowiednich kontrolerów. Panel pokazuje również jedną z następujących wartości stanu, a także datę utworzenia każdego certyfikatu:

• Dostarczone przez klienta — oznacza, że kontroler korzysta z przesłanego certyfikatu.

• System wygenerowany — oznacza, że kontroler korzysta z aktywnego certyfikatu i klucza utworzonego przez kontroler.

• Nieznany stan — wskazuje, że nie można odczytać certyfikatu kontrolera. Najczęściej dzieje się tak, gdy kontroler jest uruchamiany ponownie, proces wymiany certyfikatu jest nadal w toku lub wybrano kartę kontrolera partnera w systemie z jednym kontrolerem.

Można użyć własnych certyfikatów, przesyłając je za pośrednictwem protokołu FTP lub SFTP lub używając parametru zawartości polecenia create certificate CLI w celu utworzenia certyfikatów z własną unikatową zawartością certyfikatu. Aby nowy certyfikat został zastosowany, należy najpierw ponownie uruchomić kontroler zarządzania.

Aby upewnić się, że wymiana certyfikatu powiodła się, a kontroler używa dostarczonego certyfikatu, upewnij się, że stan certyfikatu został dostarczony przez klienta, data utworzenia jest poprawna, a zawartość certyfikatu jest oczekiwanym tekstem. 

Wyświetl informacje o certyfikatach:

1. Na banerze kliknij panel systemowy i wybierz opcję Pokaż informacje o certyfikatach. Zostanie otwarty panel Informacje o certyfikatach.

2. Po zakończeniu przeglądania informacji o certyfikatach kliknij przycisk Zamknij.

Przed zainstalowaniem certyfikatu informacje wyglądają następująco — wygenerowany system:
 

Po zainstalowaniu własnego certyfikatu zostanie on rozpoznany jako dostarczony przez Klienta:

Usuwanie niestandardowych certyfikatów.

Aby przywrócić certyfikat wygenerowany przez system i usunąć niestandardowy certyfikat z obu kontrolerów, zaloguj się do każdego kontrolera i uruchom polecenie:

# create certificate restore

Aby zmiany certyfikatu zostały wprowadzone, należy ponownie uruchomić kontroler zarządzania na wszystkich kontrolerach, na których zostało wykonane polecenie. 

Przykład tylko interfejsu wiersza poleceń przy użyciu sesji SSH dla systemów Linux i ME4.

1. Utwórz certyfikat i umieść plik PEM .cer i .key na komputerze z systemem Linux. 

2. Z sesji SSH w polu Linux przenieś pliki za pomocą FTP do macierzy, a następnie otwórz sesję SSH do macierzy, aby ponownie uruchomić oba kontrolery na ME4. Trwa to około dwóch minut po ponownym uruchomieniu kontrolerów zarządzania ME4, zanim będzie można zalogować się ponownie do me4 i wyświetlić nowy certyfikat. Uwaga: Wyświetlenie jednego kontrolera może trwać dłużej niż w innych, więc do momentu pełnego włączenia obu kontrolerów może pojawić się jeden kontroler na certyfikacie systemowym, a drugi na certyfikacie klienta.

W poniższym przykładzie adresy IP kontrolera ME4:

Odpowiedź:  100.85.XXX.X
B:  100.85.XXX,XX8

Należy przesłać certyfikat i plik klucza do obu kontrolerów za pomocą protokołu FTP, a następnie ponownie uruchomić kontroler zarządzania na obu kontrolerach, aby oba kontrolery miały certyfikat.

[grpadmin@hitle18 certyfikaty]$ pwd
/home/grpadmin/dokumenty/certyfikaty
[grpadmin@hitle18 certyfikaty]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certyfikaty]$ ftp 100.85.239,3
Podłączono do wersji 100.85.239.3 (100.85.239.3).
220-Witamy w Pure-FTPd.
220- Użytkownik jest numerem 1 z 5 dozwolonych.
220- Czas lokalny to teraz 23:29. Port serwera: 21.220-Jest
to system prywatny — natym serwerze nie są również powitalne żadne połączenia logowania
anonimowego 220-IPv6.
220 Użytkownik zostanie odłączony po 15 minutach nieaktywności.
Nazwa (100.85.239.3:grpadmin): manage
Zarządzanie przez użytkownika 331 OK. Wymagane
hasłoHasło:
230-OK. Bieżący katalog z ograniczeniami to /.
.
.
230-Instrukcje ładowania plików certyfikatów zabezpieczeń:
230–1. Pliki certyfikatów zabezpieczeń składają się z pary plików.
230 — plik certyfikatu i plik klucza.
230–2. Zaloguj się przy użyciu nazwy użytkownika i hasła.
230–3. Wpisz "put <certificate-file-name> cert-file"
230- gdzie <nazwa> pliku certyfikatu to nazwa pliku
certyfikatu230- dla konkretnego systemu.
230–4. Wpisz "put <key-file-name> cert-key-file"
230- gdzie <nazwa> pliku klucza to nazwa pliku klucza zabezpieczeń dla
230 - danego systemu.
230–5.  Uruchom ponownie oba kontrolery zarządzania, aby mieć nowe zabezpieczenia
230 — certyfikat jest uwzględniany.
230–
230
Typ systemu zdalnego to UNIX.
Używanie trybu binarnego do przesyłania plików.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: plik cert-file
227 wejście w tryb pasywny (100,85,239,3,127,0)
150 Akceptowane połączenie
danychPrzesyłanie 226 plików zakończone. Rozpoczęcie pracy: (2020-12-10 17:40:12)
STAN: Ładowanie pliku
certyfikatu zabezpieczeń226-
226 Operacja zakończona. (2020-12-10 17:40:18)
1050 bajtów wysłanych w 9,4e-05 sekund (11170,21 Kbytes/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 wejście w tryb pasywny (100,85,239,3,204,57)
150 Akceptowane połączenie
danychPrzesyłanie 226 plików zakończone. Rozpoczęcie pracy: (2020-12-10 17:40:37)
STAN: Ładowanie pliku
certyfikatu zabezpieczeńWeryfikacja przesłanego certyfikatu i klucza.

Zainstalowano przesłany certyfikat SSL i klucz. Uruchom ponownie kontroler, aby zastosować.
226-
226 Operacja zakończona. (2020-12-10 17:40:45)
1679 bajtów wysłanych w 8,5e-05 sekund (19752,94 Kbytes/s)
ftp> ls
227 w trybie pasywnym (100, 85, 239, 3, 189, 193)
150 Akceptowane połączenie
danych-rw-rw-rw-1 1 0 użytkowników 0 10 grudnia 17:400-rw-r--r-- 1 0 0 8436 grudnia 2 20:39 README
226-Opcje
: -L
Łącznie 226 2
ftp> bye
221-Żegnaj. Przesłano 3 i pobrano 0 kbytes.
221 Wylogowanie.
[grpadmin@hitle18 certyfikaty]$ ftp 100.85.238.178
Połączono z 100.85.238.178 (100.85.238.178).
220-Witamy w Pure-FTPd.
220- Użytkownik jest numerem 1 z 5 dozwolonych.
220- Czas lokalny to teraz 23:30. Port serwera: 21.220-Jest
to system prywatny — natym serwerze nie są również powitalne żadne połączenia logowania
anonimowego 220-IPv6.
220 Użytkownik zostanie odłączony po 15 minutach nieaktywności.
Nazwa (100.85.238.178:grpadmin): manage
Zarządzanie przez użytkownika 331 OK. Wymagane
hasłoHasło:
230-OK. Bieżący ograniczony katalog to/
.
.
.
Typ systemu zdalnego to UNIX.
Używanie trybu binarnego do przesyłania plików.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: plik cert-file
227 wejście w tryb pasywny (100,85,238,178,126,144)
150 Akceptowane połączenie
danychPrzesyłanie 226 plików zakończone. Rozpoczęcie pracy: (2020-12-11 23:30:22)
STAN: Ładowanie pliku
certyfikatu zabezpieczeń226-
226 Operacja zakończona. (2020-12-11 23:30:28)
1050 bajtów wysłanych w 4,7e-05 sekund (22340,42 Kbytes/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 wejście w tryb pasywny (100,85,238,178,200,227)
150 Akceptowane połączenie
danychPrzesyłanie 226 plików zakończone. Rozpoczęcie pracy: (2020-12-11 23:30:40)
STAN: Ładowanie pliku
certyfikatu zabezpieczeńWeryfikacja przesłanego certyfikatu i klucza.

Zainstalowano przesłany certyfikat SSL i klucz. Uruchom ponownie kontroler, aby zastosować.
226-
226 Operacja zakończona. (2020-12-11 23:30:47)
1679 bajtów wysłanych w 5,2e-05 sekund (32288,46 Kbytes/s)
ftp> bye
221-Żegnaj. Przesłano 3 i pobrano 0 kbytes.
221 Wylogowanie.
[grpadmin@hitle18 certyfikaty]$ ssh manage@100.85.239,3
Hasło:

DELL EMC ME4024
Nazwa systemu: NDC-ME4
Lokalizacja systemu: NDC
Wersja: GT280R008 01
# uruchom ponownie mc both
Podczas procesu ponownego uruchamiania na krótko utracisz komunikację z określonym kontrolerem zarządzania.
Czy chcesz kontynuować? (y/n) y
Informacji: Ponowne uruchomienie lokalnego MC (A)...
Sukces: Command completed successfully. - Oba komputery zostały ponownie uruchomione. (2020-12-11 23:31:26)
# Killed (Killed)
Połączenie do 100.85.239.3 zamknięte.
.
.  Może to potrwać około 2 minut, aby móc zalogować się do macierzy, aby
.  zobacz certyfikaty
.
[grpadmin@hitle18 certyfikaty]$ ssh manage@100.85.239,3
Hasło:

DELL EMC ME4024
Nazwa systemu: NDC-ME4
Lokalizacja systemu: NDC
Wersja: GT280R008 01
# pokaż certyfikaty
Błąd: Polecenie nie zostało rozpoznane. (2020-12-11 23:36:35)
# pokaż certyfikat
Stan certyfikatu
------------------
Kontrolera: A
Stan certyfikatu: Dostarczone przez
klientaCzas utworzenia: 2020-12-11 23:29:29
Tekst certyfikatu: Certyfikat:
    Data:
        Version: 1 (0x0)
Numer seryjny: 3580 (0xdfc)
Algorytm podpisu: sha1WithRSAEncryption
Emitenta: C=JP, ST=Tokio, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Ważności
Nie wcześniej: 22 sierpnia 05:27:41 2012 GMT
Nie po: 21 sierpnia 05:27:41 2017 GMT
Temat: C=JP, ST=Tokio, O=Frank4DD, CN=www.example.com
Informacje o kluczu publicznym tematu:
            Algorytm klucza publicznego: rsaEncryption
Klucz publiczny RSA: (wersja 2048-bitowa)
Moduł:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Wykładnik: 65537 (0x10001)
Algorytm podpisu: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Stan certyfikatu
------------------
Kontrolera: Stan certyfikatu B: Dostarczone przez
klientaCzas utworzenia: 2020-12-11 23:30:22
Tekst certyfikatu: Certyfikat:
    Data:
        Version: 1 (0x0)
Numer seryjny: 3580 (0xdfc)
Algorytm podpisu: sha1WithRSAEncryption
Emitenta: C=JP, ST=Tokio, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Ważności
Nie wcześniej: 22 sierpnia 05:27:41 2012 GMT
Nie po: 21 sierpnia 05:27:41 2017 GMT
Temat: C=JP, ST=Tokio, O=Frank4DD, CN=www.example.com
Informacje o kluczu publicznym tematu:
            Algorytm klucza publicznego: rsaEncryption
Klucz publiczny RSA: (wersja 2048-bitowa)
Moduł:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Wykładnik: 65537 (0x10001)
Algorytm podpisu: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Sukces: Command completed successfully. (2020-12-11 23:36:41)
#