PowerVault ME4: Aangepaste certificaten installeren en verwijderen

Aangepaste certificaten installeren/verwijderen op ME4

Het certificaat installeren.
Certificaatinformatie weergeven.
Aangepaste certificaten verwijderen.
Alleen CLI-voorbeeld met linux- en ME4 SSH-sessie.
 

Het certificaat installeren.

Voer de volgende stappen uit om een beveiligingscertificaat van derden of een zelfondertekend beveiligingscertificaat te installeren:

1. Bereid u in PowerVault Manager voor op het gebruik van FTP of SFTP:

   1. Bepaal de IP-adressen van de netwerkpoort van de systeemcontrollers onder ME4 System Settings > Network.

   2. Controleer of de FTP- of SFTP-service is ingeschakeld op het systeem onder de ME4 System Settings > Services. Als u SFTP gebruikt, moet u vastleggen welke poort SFTP moet worden gebruikt.

3. Controleer of de gebruiker die u wilt gebruiken rolmachtigingen en FTP- of SFTP-interfacemachtigingen heeft onder ME4 System Settings > Manage Users.

2. Plaats uw certificaatbestand en sleutelbestand in een map die toegankelijk is voor de FTP-client. De indeling van het certificaat en het sleutelbestand moet PEM zijn. Als u DER-bestanden gebruikt, kunt u ze uploaden, maar ze kunnen niet worden gebruikt wanneer u het beheer op de controllers opnieuw opstart. Opmerking: ME4 ondersteunt certificaten voor jokertekens.

3. Open een opdrachtprompt (Windows) of een terminalvenster (UNIX) en ga naar de map met de certificaatbestanden. U kunt geen gebruikersinterface gebruiken zoals de Filezilla-client, omdat de put-regel opdrachtparameters vereist na de bestandsnaam.

(Opmerking: Windows FTP kan geen passieve FTP uitvoeren als de firewall is ingeschakeld. Het kan zich aanmelden bij de ME4-array, maar er treedt dan een fout op met een poortverbindingsprobleem bij het verzenden van bestanden. Als u de Windows-opdrachtregel FTP wilt gebruiken, moet u de Windows-firewall uitschakelen voordat u begint.)

4. Typ: sftp controller-network-address -P port of ftp controller-network-address. U moet de bestanden uploaden naar beide controllers, zodat deze op beide controllers kunnen worden gebruikt.

Bijvoorbeeld: sftp 10.235.XXX.XXX -P 1022 of ftp 10.X.0.X X.

Meld u aan als een gebruiker met beheerrolmachtigingen en FTP- of SFTP-interfacemachtigingen. In deze voorbeelden heb ik de WinSCP FTP-opdrachtregelclient gebruikt, maar als u de Windows firewall uitschakelt, kunt u de Windows FTP-client gebruiken. U kunt ook een Linux-client gebruiken.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
prompting for credentials...
Gebruikersnaam: beheer
verbinding maken met 100.85.XXX.X ...
Wachtwoord:
Verbonden
De sessie starten...
Sessie gestart.
Actieve sessie: [1] 100.85.XXX.X
winscp>

5. Typ: put certificate-file-name cert-file where certificate file name is the name of the certificate file for your specific system. U krijgt mogelijk een bestandsfout omdat de map waarin het certificaat is geplaatst een verborgen map is die de FTP-gebruiker geen machtigingen heeft om te wijzigen.

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 KB |    0,0 KB/s | binair | 100%
winscp>

6. Typ: put key-file-name cert-key-file where key-file-name is the name of the security key file for your specific system.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 KB |    0,0 KB/s | binair | 100%
winscp>

7. Opmerking: Als u een directory-vermelding op de FTP-site van de array na het uploaden van deze bestanden doet, ziet u de bestanden niet.  Ze worden opgeslagen in verborgen mappen waar de FTP-gebruiker niet naar kan kijken.

winscp> ls
D--------- 0 0 ..
Lrwxrwxrwx 0 0 0 12 dec 2 13:19:33 2020 .banner ->
-rw-rw-rw-rw- 0 0 10 0 dec 2 214:46:49 2020 0-rw-r
--r-- 0 0 0 8436 dec 2 13:19:33 2020 README
winscp>

8. Herhaal stap 4, 5, 6 en 7 voor de andere controller.

9. Start beide beheercontrollers opnieuw op om het nieuwe beveiligingscertificaat van kracht te laten worden. Nadat de beheercontrollers opnieuw zijn opgestart, moet u het certificaat kunnen bekijken via de gebruikersinterface zoals hieronder wordt weergegeven of via de SSH-opdracht "show certificate".

Certificaatinformatie weergeven.

Standaard genereert het systeem een uniek SSL-certificaat voor elke controller. Voor de sterkste beveiliging kunt u het standaard door het systeem gegenereerde certificaat vervangen door een certificaat dat is uitgegeven door een vertrouwde certificeringsinstantie.

Het deelvenster Certificate Information bevat informatie over de actieve SSL-certificaten die voor elke controller op het systeem zijn opgeslagen. Tabbladen A en B bevatten niet-geformatteerde certificaattekst voor elk van de bijbehorende controllers. Het paneel toont ook een van de volgende statuswaarden en de aanmaakdatum voor elk certificaat:

• De klant geeft aan dat de controller een certificaat gebruikt dat u hebt geüpload.

• Door het systeem gegenereerd- geeft aan dat de controller een actief certificaat en een sleutel gebruikt die door de controller zijn gemaakt.

• Onbekende status geeft aan dat het certificaat van de controller niet kan worden gelezen. Dit gebeurt meestal wanneer een controller opnieuw wordt opgestart, het certificaatvervangingsproces nog bezig is of u het tabblad voor een partnercontroller in een systeem met één controller hebt geselecteerd.

U kunt uw eigen certificaten gebruiken door ze te uploaden via FTP of SFTP of door de inhoudsparameter van de OPDRACHT certificaat-CLI te gebruiken om certificaten te maken met uw eigen unieke certificaatinhoud. Als een nieuw certificaat van kracht wordt, moet u eerst de beheercontroller opnieuw opstarten.

Om te controleren of de vervanging van het certificaat is geslaagd en de controller het door u geleverde certificaat gebruikt, moet u ervoor zorgen dat de certificaatstatus door de klant is aangeleverd, dat de aanmaakdatum correct is en dat de certificaatinhoud de verwachte tekst is. 

Certificaatinformatie weergeven:

1. Klik in de banner op het systeempaneel en selecteer Certificaatinformatie weergeven. Het deelvenster Certificaatinformatie wordt geopend.

2. Klik op Sluiten nadat u klaar bent met het weergeven van certificaatinformatie.

Voordat u een certificaat installeert, ziet de informatie er als volgt uit: Systeem gegenereerd:
 

Nadat u uw eigen certificaat hebt geïnstalleerd, wordt aangegeven als door de klant geleverd:

Aangepaste certificaten verwijderen.

Als u het door het systeem gegenereerde certificaat wilt herstellen en het aangepaste certificaat van beide controllers wilt verwijderen, meldt u zich aan bij elke controller en voert u de volgende opdracht uit:

# Certificaatherstel

maken Om de certificaatwijziging van kracht te maken, moet u de Beheercontroller opnieuw opstarten op alle controllers waarop u de opdracht hebt uitgevoerd. 

Alleen CLI-voorbeeld met linux- en ME4 SSH-sessie.

1. Maak het certificaat en plaats de PEM .cer en .key op uw Linux-machine. 

2. Vanuit een SSH-sessie in het Linux-vak worden de bestanden via FTP naar de array overgebracht en vervolgens een SSH-sessie naar de array geopend om beide controllers op de ME4 opnieuw op te starten. Het duurt ongeveer twee minuten nadat u de ME4-beheercontrollers opnieuw hebt opgestart voordat u zich weer kunt aanmelden bij de ME4 en het nieuwe certificaat kunt weergeven. Opmerking: Het kan langer duren voordat de ene controller verschijnt dan de andere, dus totdat beide controllers volledig zijn ingeschakeld, ziet u mogelijk één controller op een systeemcertificaat en één op een klantcertificaat.

In het onderstaande voorbeeld zijn de IP's van de ME4-controller:

A:  100.85.XXX.X
B:  100.85.XXX.XX8

U moet het certificerings- en sleutelbestand uploaden naar beide controllers via FTP en vervolgens de beheercontroller op beide controllers opnieuw opstarten zodat beide controllers het certificaat hebben.

[grpadmin@hitle18 certs]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18 certs]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certs]$ ftp 100.85.239.3
Aangesloten op 100.85.239.3 (100.85.239.3).
220-Welkom bij Pure-FTPd.
220- U bent gebruiker 1 van 5 toegestaan.
220-Lokale tijd is nu 23:29. Serverpoort: 21.220-Dit
is een privésysteem - Geen anonieme aanmeldings
220-IPv6-verbindingen zijn ook welkom op deze server.
220 Na 15 minuten inactiviteit wordt u losgekoppeld.
Naam (100.85.239.3:grpadmin): beheren
331 Gebruiker beheert OK. Wachtwoord vereist
Wachtwoord:
230-OK. De huidige map met beperkte toegang is /.
.
.
230-Instructies voor het laden van beveiligingscertificaatbestanden:
230-1. De beveiligingscertificaatbestanden bestaan uit een paar bestanden.
230- U hebt een certificaatbestand en een sleutelbestand.
230-2. Meld u aan met een gebruikersnaam en wachtwoord.
230-3. Typ 'put <certificate-file-name> cert-file'230
- waarbij <de naam> van het certificaatbestand de naam is van het certificaatbestand
230- voor uw specifieke systeem.
230-4. Typ 'put <key-file-name> cert-key-file'230
, waarbij <key-file-name> de naam is van het beveiligingssleutelbestand voor
230, uw specifieke systeem.
230-5.  Start beide beheercontrollers opnieuw op om de nieuwe beveiliging
te hebben230- certificaat wordt van kracht.
230-
230
Extern systeemtype is UNIX.
Binaire modus gebruiken om bestanden over te dragen.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 Naar passieve modus (100,85,239,3,127,0)
150 geaccepteerde dataverbinding
226-Bestandsoverdracht voltooid. Startbewerking: (12-12-2020 17:40:12)
STATUS: Bestand met beveiligingscertificaat laden
226-
226 Bewerking voltooid. (12-12-2020 17:40:18)
1050 bytes verzonden in 9,4e-05 seconden (11170,21 Kbytes/sec)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 Passieve modus activeren (100,85,239,3,204,57)
150 geaccepteerde dataverbinding
226-Bestandsoverdracht voltooid. Startbewerking: (12-12-2020 17:40:37)
STATUS: Bestand met beveiligingscertificaat laden
Het geüploade certificaat en de sleutel controleren.

Het geüploade SSL-certificaat en de sleutel zijn geïnstalleerd. Start de controller opnieuw op om deze toe te passen.
226-
226 Bewerking voltooid. (12-12-2020 17:40:45)
1679 bytes verzonden in 8,5e-05 seconden (19752,94 Kbytes/sec)
ftp> ls
227 Naar passieve modus (100,85,239,3,189,193)
150 Geaccepteerde dataverbinding-rw-rw-rw
- 1 0 gebruikers 0 10 dec 17:400-rw-r--r-- 1 0 0 8436 dec 2 20:39 README
226-Opties:
-L
226 2 komen overeen met totaal
ftp> bye
221-Goodbye. U hebt 3 geüpload en 0 kbytes gedownload.
221 Afmelden.
[grpadmin@hitle18 certs]$ ftp 100.85.238.178
Aangesloten op 100.85.238.178 (100.85.238.178).
220-Welkom bij Pure-FTPd.
220- U bent gebruiker 1 van 5 toegestaan.
220-Lokale tijd is nu 23:30. Serverpoort: 21.220-Dit
is een privésysteem - Geen anonieme aanmeldings
220-IPv6-verbindingen zijn ook welkom op deze server.
220 Na 15 minuten inactiviteit wordt u losgekoppeld.
Naam (100.85.238.178:grpadmin): beheren
331 Gebruiker beheert OK. Wachtwoord vereist
Wachtwoord:
230-OK. Huidige map met beperkte toegang is /
.
.
.
Extern systeemtype is UNIX.
Binaire modus gebruiken om bestanden over te dragen.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 Activeren van passieve modus (100, 85, 238, 178, 126, 144)
150 geaccepteerde dataverbinding
226-Bestandsoverdracht voltooid. Startbewerking: (11-12-2020 23:30:22)
STATUS: Bestand met beveiligingscertificaat laden
226-
226 Bewerking voltooid. (11-12-2020 23:30:28)
1050 bytes verzonden in 4,7e-05 seconden (22340,42 Kbytes/sec)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 In passieve modus (100,85,238,178,200,227)
150 geaccepteerde dataverbinding
226-Bestandsoverdracht voltooid. Startbewerking: (11-12-2020 23:30:40)
STATUS: Bestand met beveiligingscertificaat laden
Het geüploade certificaat en de sleutel controleren.

Het geüploade SSL-certificaat en de sleutel zijn geïnstalleerd. Start de controller opnieuw op om deze toe te passen.
226-
226 Bewerking voltooid. (11-12-2020 23:30:47)
1679 bytes verzonden in 5,2e-05 seconden (32288,46 Kbytes/sec)
ftp> bye
221-Goodbye. U hebt 3 geüpload en 0 kbytes gedownload.
221 Afmelden.
[grpadmin@hitle18 certs]$ ssh manage@100.85.239.3
Wachtwoord:

DELL EMC ME4024
Systeemnaam: NDC-ME4
Systeemlocatie: NDC
Versie: GT280R008-01
# start mc beide
opnieuw opTijdens het opnieuw opstarten verliest u kort de communicatie met de opgegeven beheercontroller(s).
Wilt u doorgaan? (y/n) y
Info: Start de lokale MC (A) opnieuw op.
Succes: Command completed successfully. - Beide MCs zijn opnieuw opgestart. (11-12-2020 23:31:26)
# Geannuleerd
Verbinding met 100.85.239.3 gesloten.
.
.  Duurt ongeveer 2 minuten voordat u zich weer kunt aanmelden bij de array om
.  zie de certificaten
.
[grpadmin@hitle18 certs]$ ssh manage@100.85.239.3
Wachtwoord:

DELL EMC ME4024
Systeemnaam: NDC-ME4
Systeemlocatie: NDC
Versie: GT280R008-01
# certificaten
weergevenFout: De opdracht werd niet herkend. (11-12-2020 23:36:35)
# certificaat
weergevenCertificaatstatus
------------------
Controller: A
Certificaatstatus: Door de klant geleverd
Tijd gemaakt: 2020-12-11 23:29:29
Certificaattekst: Certificaat:
    Gegevens:
        Version: 1 (0x0)
Serienummer: 3580 (0xdfc)
Handtekeningalgoritme: sha1WithRSAEncryption
Uitgevende instelling: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Geldigheid
Niet eerder: 22 aug 2012 05:27:41 GMT
Niet na: 21 aug 2017, 05:27:41 GMT
Onderwerp: C=JP, ST=Tokyo, O=Frank4DD, CN=www.example.com
Onderwerp openbare sleutelinformatie:
            Algoritme openbare sleutel: rsaEncryption
RSA openbare sleutel: (2048-bits)
Modulus:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Exponent: 65537 (0x10001)
Handtekeningalgoritme: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Certificaatstatus
------------------
Controller: B-certificaatstatus: Door de klant geleverd
Tijd gemaakt: 2020-12-11 23:30:22
Certificaattekst: Certificaat:
    Gegevens:
        Version: 1 (0x0)
Serienummer: 3580 (0xdfc)
Handtekeningalgoritme: sha1WithRSAEncryption
Uitgevende instelling: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Geldigheid
Niet eerder: 22 aug 2012 05:27:41 GMT
Niet na: 21 aug 2017, 05:27:41 GMT
Onderwerp: C=JP, ST=Tokyo, O=Frank4DD, CN=www.example.com
Onderwerp openbare sleutelinformatie:
            Algoritme openbare sleutel: rsaEncryption
RSA openbare sleutel: (2048-bits)
Modulus:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Exponent: 65537 (0x10001)
Handtekeningalgoritme: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Succes: Command completed successfully. (11-12-2020 23:36:41)
#