PowerVault ME4: Instalación y eliminación de certificados personalizados

Instalación/eliminación de certificados personalizados en ME4

Instalación del certificado.
Visualización de la información del certificado.
Eliminación de certificados personalizados.
Ejemplo de CLI únicamente con sesión de SSH de Linux y ME4.
 

Instalación del certificado.

Realice los siguientes pasos para instalar un certificado de seguridad de otros fabricantes o autofirmado:

1. En el administrador de PowerVault, prepárese para utilizar FTP o SFTP:

   1. Determine las direcciones IP del puerto de red de las controladoras del sistema en Configuración del sistema ME4 Red > .

   2. Verifique que el servicio FTP o SFTP esté habilitado en el sistema en los servicios de configuración > del sistema ME4. Si utiliza SFTP, registre qué puerto SFTP está configurado para usar.

3. Verifique que el usuario que planea utilizar tenga permisos de función de administración y permisos de interfaz de FTP o SFTP en Me4 System Settings > Manage Users.

2. Coloque el archivo de certificado y el archivo de clave en un directorio accesible para el cliente FTP. El formato del certificado y del archivo de clave debe ser PEM. Si utiliza archivos DER, puede cargarlos, pero no se pueden utilizar cuando reinicia la administración en las controladoras. Nota: ME4 admite certificados comodín.

3. Abra un símbolo del sistema (Windows) o una ventana de terminal (UNIX) y vaya al directorio que contiene los archivos de certificado. No puede usar una interfaz del usuario como el cliente Filezilla porque la línea put requiere parámetros de comandos después del nombre de archivo.

(Nota: Ftp de Windows no puede realizar FTP pasivo si el firewall está habilitado. Es posible que pueda iniciar sesión en el arreglo ME4, pero luego se produce un error con un problema de conexión de puerto cuando se intenta enviar archivos. Si desea utilizar el FTP de la línea de comandos de Windows, debe deshabilitar el firewall de Windows antes de iniciar).

4. Escriba: sftp controller-network-address -P port o ftp controller-network-address. Debe cargar los archivos en ambas controladoras para que se utilicen en ambas controladoras.

Por ejemplo: sftp 10.235.XXX.XXX -P 1022 o ftp 10.X.0.X X.

Inicie sesión como usuario con permisos de función de administración y permisos de interfaz de FTP o SFTP. En estos ejemplos, usé el cliente de línea de comandos FTP de WinSCP, pero si deshabilita el firewall de Windows, puede utilizar el cliente FTP de Windows. También se puede utilizar un cliente linux.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
Prompting for credentials...
Nombre de usuario: manage
Connecting to 100.85.XXX.X ...
Contraseña:
conectado
Iniciando la sesión...
Se inició la sesión.
Sesión activa: [1] Winscp 100.85.XXX.X
>

5. Escriba: put certificate-file-name cert-file , donde certificate file name es el nombre del archivo de certificado para su sistema específico. Es posible que aparezca un error de archivo debido a que el directorio en el que se coloca el certificado es un directorio oculto que el usuario ftp no tiene permisos para modificar.

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 KB |    0,0 KB/s | binario | 100 %
winscp>

6. Escriba: put key-file-name cert-key-file, donde key-file-name es el nombre del archivo de clave de seguridad para su sistema específico.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 KB |    0,0 KB/s | binario | 100 %
winscp>

7. Tenga en cuenta que, si realiza una lista de directorios en el sitio FTP del arreglo después de cargar estos archivos, no verá los archivos.  Se almacenan en directorios ocultos que el usuario de FTP no puede observar.

winscp> ls
D--------- 0 0..
Lrwxrwxrwx 0 0 0 12 de diciembre 2 13:19:33 2020 .banner ->
-rw-rw-rw- 0 0 10 0 2 de diciembre 14:46:49 2020 0-rw-r
--r-- 0 0 0 8436 2 de diciembre 13:19:33 2020 README
winscp>

8. Repita los pasos 4, 5, 6 y 7 para la otra controladora.

9. Reinicie ambas controladoras de administración para que el nuevo certificado de seguridad surta efecto. Después de reiniciar las controladoras de administración, debe poder ver el certificado a través de la interfaz del usuario, como se muestra a continuación, o mediante el comando SSH "show certificate".

Visualización de la información del certificado.

De manera predeterminada, el sistema genera un certificado SSL único para cada controladora. Para una mayor seguridad, puede reemplazar el certificado predeterminado generado por el sistema por un certificado emitido por una autoridad de certificación de confianza.

El panel Información del certificado muestra información sobre los certificados SSL activos que se almacenan en el sistema para cada controladora. Las pestañas A y B contienen texto de certificado sin formato para cada una de las controladoras correspondientes. El panel también muestra uno de los siguientes valores de estado, así como la fecha de creación de cada certificado:

• Suministrado por el cliente: indica que la controladora está utilizando un certificado que ha cargado.

• System generated: indica que la controladora está utilizando un certificado activo y una clave que creó la controladora.

• Estado desconocido: indica que no se puede leer el certificado de la controladora. Esto ocurre con mayor frecuencia cuando se reinicia una controladora, el proceso de reemplazo de certificados aún está en curso o si seleccionó la pestaña para una controladora asociada en un sistema de controladora única.

Puede usar sus propios certificados cargándolos a través de FTP o SFTP, o mediante el parámetro de contenido del comando create certificate de la CLI para crear certificados con su propio contenido de certificado único. Para que un nuevo certificado surta efecto, primero debe reiniciar la controladora de administración para este.

Para verificar que el reemplazo del certificado se haya realizado correctamente y que la controladora utilice el certificado que ha suministrado, asegúrese de que el estado del certificado sea suministrado por el cliente, de que la fecha de creación sea correcta y de que el contenido del certificado sea el texto esperado. 

Ver información del certificado:

1. En el anuncio, haga clic en el panel del sistema y seleccione Mostrar información del certificado. Se abre el panel Información del certificado.

2. Una vez que haya terminado de ver la información del certificado, haga clic en Cerrar.

Antes de instalar un certificado, la información se ve de la siguiente manera: Generada por el sistema:
 

Después de instalar su propio certificado, se identificará como suministrado por el Cliente:

Eliminación de certificados personalizados.

Para restaurar el certificado generado por el sistema y eliminar el certificado personalizado de ambas controladoras, inicie sesión en cada controladora y ejecute el comando:

# create certificate restore

Para que el cambio del certificado surta efecto, debe reiniciar La controladora de administración en todas las controladoras en las que realizó el comando. 

Ejemplo de CLI únicamente con sesión de SSH de Linux y ME4.

1. Cree el certificado y coloque pem.cer y.key en la máquina con Linux. 

2. Desde una sesión SSH en el cuadro Linux, transfiera los archivos mediante FTP al arreglo y, a continuación, abra una sesión de SSH en el arreglo para reiniciar ambas controladoras en ME4. Tarda aproximadamente dos minutos después de reiniciar las controladoras de administración de ME4 antes de poder volver a iniciar sesión en ME4 y mostrar el nuevo certificado. Nota: Un controlador puede tardar más tiempo en aparecer que el otro, por lo que hasta que ambos controladores estén completamente encendidos, es posible que vea una controladora en un certificado del sistema y otra en un certificado del cliente.

En el siguiente ejemplo, las IP de la controladora ME4 son las siguientes:

R:  100.85.XXX.X
B:  100.85.XXX.XX8

Debe cargar el certificado y el archivo de clave en ambas controladoras mediante FTP y, a continuación, reiniciar la controladora de administración en ambas controladoras para que ambas controladoras tengan el certificado.

[grpadmin@hitle18 certs]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18 certs]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certs]$ ftp 100.85.239.3
Conectado a 100.85.239.3 (100.85.239.3).
220- Bienvenido a Pure-FTPd.
220- Usted es el número de usuario 1 de 5 permitidos.
220- Hora local ahora es a las 23:29. Puerto del servidor: 21.220-Este
es un sistema privado - No hay un inicio de sesión
anónimo220-IPv6 las conexiones también son bienvenidas en este servidor.
220 Se desconectará después de 15 minutos de inactividad.
Nombre (100.85.239.3:grpadmin): manage
331 La administración del usuario está en buen estado. Contraseña requerida
Contraseña:
230- En buen estado. El directorio restringido actual es /.
.
.
230: Instrucciones para cargar archivos de certificado de seguridad:
De 230 a 1. Los archivos de certificado de seguridad consistirán en un par de archivos.
230- Tendrá un archivo de certificado y un archivo de clave.
De 230 a 2. Inicie sesión con un nombre de usuario y una contraseña.
De 230 a 3. Escriba "put <certificate-file-name> cert-file"
230, donde <certificate-file-name> es el nombre del archivo
de certificado230, para su sistema específico.
De 230 a 4. Escriba "put <key-file-name> cert-key-file"
230, donde <key-file-name> es el nombre del archivo de clave de seguridad para
230, su sistema específico.
De 230 a 5.  Reinicie ambas controladoras de administración para tener la nueva seguridad
230: el certificado surte efecto.
230-
230
El tipo de sistema remoto es UNIX.
Uso del modo binario para transferir archivos.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 Entrando en modo pasivo (100,85,239,3,127,0)
150 conexión
de datos aceptada226: Transferencia de archivos completa. Inicio de la operación: (2020-12-10 17:40:12)
ESTADO: Carga del archivo
de certificado de seguridad226-
226 Operación completada. (12-2020-10 17:40:18)
1050 bytes enviados en 9,4e-05 s (11170,21 KB/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 Ingresando al modo pasivo (100,85,239,3,204,57)
150 conexión
de datos aceptada226: Transferencia de archivos completa. Inicio de la operación: (2020-12-10 17:40:37)
ESTADO: Carga del archivo
de certificado de seguridadVerificación del certificado y la clave cargados.

Se instaló el certificado SSL cargado y la clave. Reinicie la controladora para aplicarla.
226-
226 Operación completada. (12-2020-10 17:40:45)
1679 bytes enviados en 8,5e-05 s (19,752,94 KB/s)
ftp> ls
227 Ingresando al modo pasivo (100,85,239,3,189,193)
150 Datos aceptadosconnection-rw-rw-rw-1 10 usuarios 0 de diciembre 10 17:400-rw-r--r-- 1 0 0 8436 2 de diciembre 20:39 README
226-Options:

-L
226 2 coincidencias en total
ftp> bye
221: despídase. Cargó 3 y descargó 0 kbytes.
221 Cierre de sesión.
[grpadmin@hitle18 certs]$ ftp 100.85.238.178
Conectado a 100.85.238.178 (100.85.238.178).
220- Bienvenido a Pure-FTPd.
220- Usted es el número de usuario 1 de 5 permitidos.
220- Hora local ahora es a las 23:30. Puerto del servidor: 21.220-Este
es un sistema privado - No hay un inicio de sesión
anónimo220-IPv6 las conexiones también son bienvenidas en este servidor.
220 Se desconectará después de 15 minutos de inactividad.
Nombre (100.85.238.178:grpadmin): manage
331 La administración del usuario está en buen estado. Contraseña requerida
Contraseña:
230- En buen estado. El directorio restringido actual es/
.
.
.
El tipo de sistema remoto es UNIX.
Uso del modo binario para transferir archivos.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 Entrar en modo pasivo (100,85,238,178,126,144)
150 conexión
de datos aceptada226: Transferencia de archivos completa. Inicio de la operación: (2020-12-11 23:30:22)
ESTADO: Carga del archivo
de certificado de seguridad226-
226 Operación completada. (2020-12-11 23:30:28)
1050 bytes enviados en 4,7e-05 s (22340,42 KB/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 Entrar en modo pasivo (100,85,238,178,200,227)
150 conexión
de datos aceptada226: Transferencia de archivos completa. Inicio de la operación: (2020-12-11 23:30:40)
ESTADO: Carga del archivo
de certificado de seguridadVerificación del certificado y la clave cargados.

Se instaló el certificado SSL cargado y la clave. Reinicie la controladora para aplicarla.
226-
226 Operación completada. (2020-12-11 23:30:47)
1679 bytes enviados en 5,2e-05 segundos (32288,46 KB/s)
ftp> bye
221: despídase. Cargó 3 y descargó 0 kbytes.
221 Cierre de sesión.
[grpadmin@hitle18 certs]$ ssh manage@100.85.239.3
Contraseña:

DELL EMC ME4024
Nombre del sistema: NDC-ME4
Ubicación del sistema: NDC
Versión: GT280R008-01
# restart mc both
Durante el proceso de reinicio, perderá brevemente la comunicación con las controladoras de administración especificadas.
¿Desea continuar? (y/n) y
Información: Reinicio de la MC local (A)...
Éxito: Command completed successfully. - Ambas COMPUTADORAs se reiniciaron. (2020-12-11 23:31:26)
N.º de personas que perdier
Conexión a 100.85.239.3 cerrada.
.
.  Tardará aproximadamente 2 minutos en volver a iniciar sesión en el arreglo para
.  consulte los certificados
.
[grpadmin@hitle18 certs]$ ssh manage@100.85.239.3
Contraseña:

DELL EMC ME4024
Nombre del sistema: NDC-ME4
Ubicación del sistema: NDC
Versión: GT280R008-01
N.º de mostrar certificados
Error: No se reconoció el comando. (2020-12-11 23:36:35)
# show certificate
Estado del
certificado------------------
Controlador: Un
Estado del certificado: Suministrado por
el clienteHora de creación: 12-12-2020 23:29:29
Texto del certificado: Certificado:
    Datos:
        Version: 1 (0x0)
Número de serie: 3580 (0xdfc)
Algoritmo de firma: sha1WithRSAEncryption
Emisor: C=JP, ST=Tokio, L=Chuo-ku, O=Frank4DD, OU=Soporte webCert, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Validez
No antes: 22 de agosto de 2012, 05:27:41 GMT
No después: 21 de agosto de 2017, 05:27:41 GMT
Asunto: C=JP, ST=Tokio, O=Frank4DD, CN=www.example.com
Información de clave pública del asunto:
            Algoritmo de clave pública: rsaEncryption
Clave pública de RSA: (2048 bits)
Módulo:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Exponente: 65537 (0x10001)
Algoritmo de firma: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Estado del
certificado------------------
Controlador: Estado del certificado B: Suministrado por
el clienteHora de creación: 2020-12-11 23:30:22
Texto del certificado: Certificado:
    Datos:
        Version: 1 (0x0)
Número de serie: 3580 (0xdfc)
Algoritmo de firma: sha1WithRSAEncryption
Emisor: C=JP, ST=Tokio, L=Chuo-ku, O=Frank4DD, OU=Soporte webCert, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Validez
No antes: 22 de agosto de 2012, 05:27:41 GMT
No después: 21 de agosto de 2017, 05:27:41 GMT
Asunto: C=JP, ST=Tokio, O=Frank4DD, CN=www.example.com
Información de clave pública del asunto:
            Algoritmo de clave pública: rsaEncryption
Clave pública de RSA: (2048 bits)
Módulo:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Exponente: 65537 (0x10001)
Algoritmo de firma: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Éxito: Command completed successfully. (2020-12-11 23:36:41)
#