PowerVault ME4: Встановлення та видалення користувацьких сертифікатів

Встановлення/видалення користувацьких сертифікатів на ME4

Встановлення сертифіката.
Перегляд інформації про сертифікат.
Видалення користувацьких сертифікатів.
Приклад лише CLI з використанням сеансу SSH Linux та ME4.
 

Встановлення сертифіката.

Виконайте наведені нижче дії, щоб інсталювати сторонній сертифікат безпеки або сертифікат безпеки із власним підписом.

1. У диспетчері PowerVault підготуйтеся до використання FTP або SFTP:

   1. Визначте IP-адреси мережевих портів системних контролерів у розділі ME4 System Settings Network (Мережа системних параметрів > ).

   2. Переконайтеся, що в системі ввімкнено службу FTP або SFTP у розділі Служби системних параметрів > ME4. Якщо використовується протокол SFTP, запишіть, який порт SFTP використовується.

3. Переконайтеся, що користувач, якого ви плануєте використовувати, має дозволи на керування ролями та дозволи на інтерфейс FTP або SFTP у розділі «Керування користувачами» ME4 «Системні параметри > ».

2. Помістіть файл сертифіката та файл ключа до каталогу, доступного для FTP-клієнта. Формат файлу сертифіката та ключа має бути PEM. Якщо ви використовуєте DER-файли, ви можете завантажувати їх, але вони не можуть бути використані при перезапуску управління на контролерах. Примітка: ME4 підтримує сертифікати wild card.

3. Відкрийте командний рядок (Windows) або вікно терміналу (UNIX) і перейдіть до каталогу, який містить файли сертифікатів. Ви не можете використовувати інтерфейс користувача, подібний до клієнта Filezilla, оскільки рядок put вимагає параметрів команди після назви файла.

(Примітка. Windows FTP не може виконувати пасивний FTP, якщо брандмауер увімкнуто. Можливо, він зможе увійти в масив ME4, але потім видасть помилку через проблему з підключенням до порту при спробі відправити файли. Якщо ви хочете використовувати FTP командного рядка Windows, перед запуском потрібно вимкнути брандмауер Windows.

4. Тип: sftp controller-network-address -P порт або ftp controller-network-address. Ви повинні завантажити файли на обидва контролери, щоб вони могли використовуватися на обох контролерах.

Наприклад: sftp 10.235.XXX.XXX -P 1022 або ftp 10.X.0.X X.

Увійдіть як користувач із дозволами на керування ролями та дозволами інтерфейсу FTP або SFTP. У цих прикладах я використовував клієнт командного рядка WinSCP FTP, але якщо ви відключите брандмауер Windows, ви можете використовувати FTP-клієнт Windows. Також можна використовувати клієнт Linux.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"winscp
> open ftp://100.85.XXX.X
Запит на введення облікових даних...
Ім'я користувача: керуйте
підключенням до 100.85.XXX.X ...
Пароль:
Підключено
Початок сеансу...
Сесія розпочалася.
Активна сесія: [1] 100.85.XXX.X
winscp>

5. Тип: вкажіть certificate-file-name cert-file , де назва файла сертифіката є назвою файла сертифіката для вашої конкретної системи. Ви можете отримати повідомлення про помилку файла, оскільки каталог, до якого записано сертифікат, є прихованим каталогом, на зміну якого користувач FTP не має дозволу.

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 КБ |    0,0 КБ/с | двійковий | 100%
winscp>

6. Тип: введіть ім'я файла ключа cert-key-file, де key-file-name — це назва файла ключа безпеки для вашої конкретної системи.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 КБ |    0,0 КБ/с | двійковий | 100%
winscp>

7. Зверніть увагу: якщо ви зробите список каталогів на FTP-сайті масиву, після завантаження цих файлів ви не побачите файли.  Вони зберігаються в прихованих каталогах, які користувач FTP не може переглянути.

winscp> ls
D--------- 0 0 ..
Lrwxrwxrwx 0 0 0 12 грудня 2 13:19:33 2020 .banner --rw-rw-rw- 0 0 10 0 2 грудня 14:46:49 2020 0-rw-r--r-->
0 0 0
8436 2 грудня 13:19:33 2020 README
winscp>

8. Повторіть кроки 4, 5, 6 і 7 для іншого контролера.

9. Перезапустіть обидва контролери керування, щоб новий сертифікат безпеки набув чинності. Після перезапуску контролерів керування ви зможете переглянути сертифікат за допомогою інтерфейсу користувача, як показано нижче, або за допомогою команди SSH "show certificate".

Перегляд інформації про сертифікат.

За замовчуванням система генерує унікальний SSL-сертифікат для кожного контролера. Для найнадійнішого захисту можна замінити сертифікат, створений системою за промовчанням, сертифікатом, виданим довіреним центром сертифікації.

На панелі Certificate Information відображається інформація про активні SSL-сертифікати, які зберігаються в системі для кожного контролера. Вкладки A і B містять неформатований текст сертифіката для кожного з відповідних контролерів. На панелі також буде показано одне з наведених нижче значень стану, а також дату створення кожного сертифіката.

• Клієнт надано – вказує на те, що контролер використовує сертифікат, який ви завантажили.

• System generated-Вказує на те, що контролер використовує активний сертифікат і ключ, які були створені контролером.

• Невідомий статус – вказує на те, що сертифікат контролера не може бути прочитаний. Найчастіше це відбувається, коли контролер перезавантажується, процес заміни сертифіката все ще триває або ви вибрали вкладку для контролера-партнера в системі з одним контролером.

Ви можете використовувати власні сертифікати, завантаживши їх через FTP або SFTP або скориставшись параметром contents команди create certificate CLI, щоб створити сертифікати з власним унікальним вмістом сертифіката. Щоб новий сертифікат набув чинності, спочатку потрібно перезапустити контролер керування для нього.

Щоб переконатися, що заміна сертифіката пройшла успішно, а контролер використовує наданий вами сертифікат, переконайтеся, що статус сертифіката надано клієнтом, дату створення вказано правильно, а вміст сертифіката відповідає очікуваному тексту. 

Переглянути інформацію про сертифікат:

1. На банері натисніть на системну панель і виберіть «Показати інформацію про сертифікат». Відкриється панель «Інформація про сертифікат».

2. Завершивши перегляд відомостей про сертифікат, натисніть кнопку Закрити.

Перед встановленням сертифіката інформація виглядає наступним чином – System Generated:
 

Після інсталяції власного сертифіката він буде ідентифікований як Наданий клієнтом:

Видалення користувацьких сертифікатів.

Щоб відновити згенерований системою сертифікат і видалити власний сертифікат з обох контролерів, увійдіть до кожного контролера та виконайте команду:

# create certificate restore

Щоб зміна сертифіката набула чинності, необхідно перезапустити контролер керування на всіх контролерах, на яких було виконано команду. 

Приклад лише CLI з використанням сеансу SSH Linux та ME4.

1. Створіть сертифікат і розмістіть PEM .cer і .key на своєму комп'ютері з Linux. 

2. З сеансу SSH на коробці Linux перенесіть файли за допомогою FTP на масив, а потім відкрийте сеанс SSH на масив, щоб перезапустити обидва контролери на ME4. Після перезапуску контролерів керування ME4 потрібно близько двох хвилин, перш ніж ви зможете знову увійти до ME4 та показати новий сертифікат. Примітка: Один контролер може з'являтися довше, ніж інший, тому, доки обидва контролери не будуть повністю задіяні, ви можете побачити один контролер у системному сертифікаті, а інший — у сертифікаті клієнта.

У наведеному нижче прикладі IP-адреси контролерів ME4:

A:  100.85.ХХХ.Х Б
:  100.85.ХХХ.ХХ8

Ви повинні завантажити файл сертифіката та ключа на обидва контролери за допомогою FTP, а потім перезапустити контролер керування на обох контролерах, щоб обидва контролери отримали сертифікат.

[grpadmin@hitle18 сертифікати]$ pwd
/home/grpadmin/Документи/сертифікати
[grpadmin@hitle18 сертифікати]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 сертифікати]$ ftp 100.85.239.3
Підключено до 100.85.239.3 (100.85.239.3).
220-Ласкаво просимо до Pure-FTPd.
220-Ви користувач номер 1 з 5 дозволено.
220-місцевий час зараз 23:29. Порт сервера: 21.220
- Це приватна система - Анонімний вхід
220-IPv6 також вітається на цьому сервері.
220 Ви будете відключені через 15 хвилин бездіяльності.
Ім'я (100.85.239.3:grpadmin): керування
331 Керування користувачем ОК. Потрібен
парольПароль:
230-ОК. Поточним обмеженим каталогом є /.
.
.
230-Інструкції щодо завантаження файлів сертифікатів безпеки:
230- 1. Файли сертифікатів безпеки складатимуться з пари файлів.
230- У вас буде файл сертифіката та файл ключа.
230- 2. Увійдіть під ім'ям користувача та паролем.
230- 3. Введіть 'put certificate-file-name cert-file'230
- де <certificate-file-name> є назвою файла сертифіката
230- для вашої конкретної системи.
<>230 - 4. Введіть 'put key-file-name cert-key-file'230- де <key-file-name> - це ім'я файлу ключа безпеки для
230- вашої конкретної системи.
><
230- 5.  Перезапустіть обидва контролери керування, щоб отримати новий захист
230 - свідоцтво набирає чинності.
230-
230
Тип віддаленої системи - UNIX.
Використання двійкового режиму для передачі файлів.
FTP> помістіть 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem віддалений: файл сертифіката
227 Вхід у пасивний режим (100,85,239,3,127,0)
150 Допустиме з'єднання для
передачі данихПередача 226-файлів завершена. Початок роботи: (10.12.2020 17:40:12)
СТАТУС: Завантаження файлу
сертифіката безпеки226-
226 Операцію завершено. (2020-12-10 17:40:18)
1050 байт надіслано за 9.4e-05 сек (11170.21 Кбайт/с)
ftp> помістити 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem віддалений: cert-key-file
227 Перехід у пасивний режим (100,85,239,3,204,57)
150 Допустиме з'єднання для
передачі данихПередача 226-файлів завершена. Початок роботи: (10.12.2020 17:40:37)
СТАТУС: Завантаження файлу
сертифіката безпекиПеревірка завантаженого сертифіката та ключа.

Завантажений SSL-сертифікат і ключ встановлені. Перезавантажте контролер, щоб застосувати.
226-
226 Операцію завершено. (2020-12-10 17:40:45)
1679 байтів надіслано за 8,5e-05 сек (19752,94 Кбайт/с)
ftp> ls
227Вхід у пасивний режим (100,85,239,3,189,193)
150 Допустиме з'єднання
даних-rw-rw-rw- 1 0 користувачів 0 Гру 10 17:40 0-rw-r--r-- 1 0 0
8436 2 грудня 20:39 README
226-Параметри: -л
226 2 матчів
ftp> до побачення221-До побачення
. Ви завантажили 3 і завантажили 0 Кбайт.
221 Вихід.
[grpadmin@hitle18 сертифікати]$ ftp 100.85.238.178
Підключено до 100.85.238.178 (100.85.238.178).
220-Ласкаво просимо до Pure-FTPd.
220-Ви користувач номер 1 з 5 дозволено.
220-місцевий час зараз 23:30. Порт сервера: 21.220
- Це приватна система - Анонімний вхід
220-IPv6 також вітається на цьому сервері.
220 Ви будете відключені через 15 хвилин бездіяльності.
Ім'я (100.85.238.178:grpadmin): manage
331 Керування користувачем ОК. Потрібен
парольПароль:
230-ОК. Поточний каталог з обмеженим доступом - /
.
.
.
Тип віддаленої системи - UNIX.
Використання двійкового режиму для передачі файлів.
FTP> помістіть 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem віддалений: файл сертифіката
227 Перехід у пасивний режим (100,85,238,178,126,144)
150 Допустиме з'єднання для
передачі данихПередача 226-файлів завершена. Початок роботи: (2020-12-11 23:30:22)
СТАТУС: Завантаження файлу
сертифіката безпеки226-
226 Операцію завершено. (2020-12-11 23:30:28)
1050 байт надсилається за 4,7e-05 сек (22340,42 Кбайт/с)
ftp> помістити 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem віддалений: cert-key-file
227 Перехід у пасивний режим (100,85,238,178,200,227)
150 Допустиме з'єднання для
передачі данихПередача 226-файлів завершена. Початок роботи: (2020-12-11 23:30:40)
СТАТУС: Завантаження файлу
сертифіката безпекиПеревірка завантаженого сертифіката та ключа.

Завантажений SSL-сертифікат і ключ встановлені. Перезавантажте контролер, щоб застосувати.
226-
226 Операцію завершено. (2020-12-11 23:30:47)
1679 байт надіслано за 5.2e-05 сек (32288.46 Кбайт/с)
ftp> до побачення221-До побачення
. Ви завантажили 3 і завантажили 0 Кбайт.
221 Вихід.
[grpadmin@hitle18 сертифікати]$ ssh manage@100.85.239.3
Пароль:

Спортивний костюм DELL EMC ME4024
Ім'я системи: NDC-ME4
Розташування системи: НВВ
Версія: GT280R008-01
# Перезапустіть MC обидва
Під час перезапуску ви на короткий час втратите зв'язок із зазначеними контролерами керування.
Хочете продовжити? (у/п) у
Інформація: Перезапуск локального МС (А)...
Успіх: Командування виконано успішно. - Обидва МС були перезапущені. (2020-12-11 23:31:26)
# Вбиті
Підключення до 100.85.239.3 закрито.
.
.  Вам знадобиться близько 2 хвилин, перш ніж ви зможете знову увійти в масив, щоб
.  Дивитись сертифікати
.
[grpadmin@hitle18 сертифікати]$ ssh manage@100.85.239.3
Пароль:

Спортивний костюм DELL EMC ME4024
Ім'я системи: NDC-ME4
Розташування системи: НВВ
Версія: GT280R008-01
# показати сертифікати
Помилка: Команду не розпізнали. (2020-12-11 23:36:35)
# показати сертифікат
Статус
сертифіката------------------
Контролер: Об'єкт
Статус сертифіката: Надано
замовникомЧас створення: 2020-12-11 23:29:29
Текст сертифіката: Сертифікат:
    Дані:
        Версія: 1 (0x0)
Серійний номер: 3580 (0xdfc)
Алгоритм підпису: sha1WithRSAEncryption
Емітента: C=JP, ST=Токіо, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Термін дії
Не раніше: 22 серпня 05:27:41 2012 GMT
Не після: 21 серпня 05:27:41 2017 GMT
Суб'єкт: C=JP, ST=Токіо, O=Frank4DD, CN=www.example.com
Інформація про публічний ключ теми:
            Алгоритм відкритого ключа: rsaEncryption
Відкритий ключ RSA: (2048 біт)
Модуль:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    C8:99:C6:78:79:B9:18:F8:0B:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    DE:49:35:14:32:92:9C:1E:C6:69:E3:3C:FB:F4:9A:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3D:06:85:56:F8:58:31:0e:ee:81:99:78:68:CD:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    AC:7A:85:0E:73:78:72:01:E7:24:89:25:9E:DA:7F:
                    65:BC:AF:87:93:19:8C:DB:75:15:B6:E0:30:C7:08:
                    8:59
Показник степеня: 65537 (0x10001)
Алгоритм підпису: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2E:18:C9:49:96:84:C2:EB:E3:23:F4:EB:AC:68:4B:57:5A:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         Ф8:13


Статус
сертифіката------------------
Контролер: Статус сертифіката B: Надано
замовникомЧас створення: 2020-12-11 23:30:22
Текст сертифіката: Сертифікат:
    Дані:
        Версія: 1 (0x0)
Серійний номер: 3580 (0xdfc)
Алгоритм підпису: sha1WithRSAEncryption
Емітента: C=JP, ST=Токіо, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Термін дії
Не раніше: 22 серпня 05:27:41 2012 GMT
Не після: 21 серпня 05:27:41 2017 GMT
Суб'єкт: C=JP, ST=Токіо, O=Frank4DD, CN=www.example.com
Інформація про публічний ключ теми:
            Алгоритм відкритого ключа: rsaEncryption
Відкритий ключ RSA: (2048 біт)
Модуль:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    C8:99:C6:78:79:B9:18:F8:0B:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    DE:49:35:14:32:92:9C:1E:C6:69:E3:3C:FB:F4:9A:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3D:06:85:56:F8:58:31:0e:ee:81:99:78:68:CD:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    AC:7A:85:0E:73:78:72:01:E7:24:89:25:9E:DA:7F:
                    65:BC:AF:87:93:19:8C:DB:75:15:B6:E0:30:C7:08:
                    8:59
Показник степеня: 65537 (0x10001)
Алгоритм підпису: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2E:18:C9:49:96:84:C2:EB:E3:23:F4:EB:AC:68:4B:57:5A:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         Ф8:13


Успіх: Командування виконано успішно. (11.12.2020 23:36:41)
#