PowerVault ME4 : Installation et suppression de certificats personnalisés

Installation/suppression de certificats personnalisés sur ME4

Installation du certificat.
Affichage des informations de certificat.
Suppression de certificats personnalisés.
Exemple de CLI uniquement utilisant une session SSH Linux et ME4.
 

Installation du certificat.

Procédez comme suit pour installer un certificat de sécurité tiers ou auto-signé :

1. Dans PowerVault Manager, préparez-vous à utiliser FTP ou SFTP :

   1. Déterminez les adresses IP des ports réseau des contrôleurs système sous Paramètres > système ME4 Réseau.

   2. Vérifiez que le service FTP ou SFTP est activé sur le système sous les services de paramètres > système ME4. Si vous utilisez SFTP, enregistrez le port SFTP à utiliser.

3. Vérifiez que l’utilisateur que vous envisagez d’utiliser dispose des autorisations de gestion des rôles et des autorisations d’interface FTP ou SFTP sous Paramètres système ME4 Gérer les utilisateurs > .

2. Placez le fichier de certificat et le fichier de clé dans un répertoire accessible au client FTP. Le format du certificat et du fichier de clé doit être PEM. Si vous utilisez des fichiers DER, vous pouvez les télécharger, mais ils ne peuvent pas être utilisés lorsque vous redémarrez la gestion sur les contrôleurs. Remarque : ME4 prend en charge les certificats génériques.

3. Ouvrez une invite de commande (Windows) ou une fenêtre de terminal (UNIX) et accédez au répertoire contenant les fichiers de certificat. Vous ne pouvez pas utiliser une interface utilisateur comme le client Filezilla, car la ligne put nécessite des paramètres de commande après le nom du fichier.

(Remarque : Windows FTP ne peut pas effectuer un FTP passif si le pare-feu est activé. Il peut être en mesure de se connecter à la baie ME4, mais se produit ensuite avec un problème de connexion de port lors de la tentative d’envoi de fichiers. Si vous souhaitez utiliser le FTP de ligne de commande Windows, vous devez désactiver le pare-feu Windows avant de démarrer.)

4. Saisissez  : sftp controller-network-address -P port ou ftp controller-network-address. Vous devez télécharger les fichiers sur les deux contrôleurs pour qu’ils soient utilisés sur les deux contrôleurs.

Par exemple : sftp 10.235.XXX.XXX -P 1022 ou ftp 10.X.0.X X.

Connectez-vous en tant qu’utilisateur avec les autorisations de gestion des rôles et les autorisations d’interface FTP ou SFTP. Dans ces exemples, j’ai utilisé le client de ligne de commande FTP WinSCP, mais si vous désactivez le pare-feu Windows, vous pouvez utiliser le client FTP Windows. Un client Linux peut également être utilisé.  

C :\Users\Administrator\Documents\SSLCerts\2048PEM>"c :\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
Demander des informations d’identification...
Nom d’utilisateur : manage
Connecting to 100.85.XXX.X ...
Mot de passe :
connecté
Démarrage de la session...
La session a démarré.
Session active : [1] 100.85.XXX.X
winscp>

5. Saisissez : put certificate-file-name cert-file où certificate file name désigne le nom du fichier de certificat de votre système spécifique. Vous pouvez obtenir une erreur de fichier, car le répertoire dans lequel le certificat est placé est un répertoire masqué que l’utilisateur FTP n’a pas les autorisations de modifier.

winscp> met 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 Ko |    0 Ko/s | binaire | 100 %
winscp>

6. Saisissez : saisissez key-file-name cert-key-file où key-file-name est le nom du fichier de clé de sécurité de votre système spécifique.   

winscp> met 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 Ko |    0 Ko/s | binaire | 100 %
winscp>

7. Notez que si vous effectuez une liste de répertoires sur le site FTP de la baie après avoir téléchargé ces fichiers, vous ne verrez pas les fichiers.  Ils sont stockés dans des répertoires cachés que l’utilisateur FTP ne peut pas examiner.

winscp> ls
D--------- 0 0..
Lrwxrwxrwx 0 0 0 12 décembre 2 13 :19 :33 2020 .banner ->
-rw-rw-rw- 0 0 10 0 2 décembre 14 :46 :49 2020 0-rw-r
--r-- 0 0 0 8436 2 décembre 13 :19 :33 2020 README
winscp>

8. Répétez les étapes 4, 5, 6 et 7 pour l’autre contrôleur.

9. Redémarrez les deux contrôleurs de gestion pour que le nouveau certificat de sécurité prenne effet. Une fois que les contrôleurs de gestion ont redémarré, vous devriez être en mesure d’afficher le certificat via l’interface utilisateur, comme indiqué ci-dessous ou via la commande SSH « show certificate ».

Affichage des informations de certificat.

Par défaut, le système génère un certificat SSL unique pour chaque contrôleur. Pour une sécurité renforcée, vous pouvez remplacer le certificat généré par le système par défaut par un certificat émis par une autorité de certification de confiance.

Le panneau Informations sur le certificat affiche des informations sur les certificats SSL actifs qui sont stockés sur le système pour chaque contrôleur. Les onglets A et B contiennent du texte de certificat non formé pour chacun des contrôleurs correspondants. Le panneau affiche également l’une des valeurs d’état suivantes, ainsi que la date de création de chaque certificat :

• Fourni par le client : indique que le contrôleur utilise un certificat que vous avez téléchargé.

• System generated : indique que le contrôleur utilise un certificat actif et une clé qui ont été créées par le contrôleur.

• État inconnu : indique que le certificat du contrôleur ne peut pas être lu. Cela se produit le plus souvent lorsqu’un contrôleur redémarre, que le processus de remplacement du certificat est toujours en cours ou que vous avez sélectionné l’onglet d’un contrôleur partenaire dans un système à un seul contrôleur.

Vous pouvez utiliser vos propres certificats en les téléchargeant via FTP ou SFTP ou en utilisant le paramètre de contenu de la commande create certificate CLI pour créer des certificats avec votre propre contenu de certificat unique. Pour qu’un nouveau certificat prenne effet, vous devez d’abord redémarrer le contrôleur de gestion.

Pour vérifier que le remplacement du certificat a réussi et que le contrôleur utilise le certificat que vous avez fourni, assurez-vous que l’état du certificat est fourni par le client, que la date de création est correcte et que le contenu du certificat est le texte attendu. 

Afficher les informations sur le certificat :

1. Dans la bannière, cliquez sur le panneau système et sélectionnez Afficher les informations de certificat. Le panneau Informations sur le certificat s’ouvre.

2. Une fois que vous avez terminé d’afficher les informations de certificat, cliquez sur Fermer.

Avant d’installer un certificat, les informations sont les suivantes : Généré par le système :
 

Après avoir installé votre propre certificat, il s’identifie comme étant fourni par le client :

Suppression de certificats personnalisés.

Pour restaurer le certificat généré par le système et supprimer le certificat personnalisé des deux contrôleurs, connectez-vous à chaque contrôleur et exécutez la commande :

# create certificate restore

Pour que la modification du certificat prenne effet, vous devez redémarrer le contrôleur de gestion sur tous les contrôleurs sur lesquels vous avez exécuté la commande. 

Exemple de CLI uniquement utilisant une session SSH Linux et ME4.

1. Créez le certificat et placez le fichier PEM .cer et la clé .key sur votre machine Linux. 

2. À partir d’une session SSH sur la zone Linux, transférez les fichiers à l’aide de FTP vers la baie, puis ouvrez une session SSH sur la baie pour redémarrer les deux contrôleurs sur le ME4. Il faut environ deux minutes après le redémarrage des contrôleurs de gestion ME4 pour pouvoir vous reconnecter au ME4 et afficher le nouveau certificat. Remarque : Un contrôleur peut prendre plus de temps que l’autre. Ainsi, tant que les deux contrôleurs ne sont pas entièrement opérationnels, vous pouvez voir un contrôleur sur un certificat système et un autre sur un certificat client.

Dans l’exemple ci-dessous, les adresses IP du contrôleur ME4 sont les suivantes :

R :  100.85.XXX.X
B :  100.85.XXX.XX8

Vous devez télécharger le fichier de certificat et de clé sur les deux contrôleurs à l’aide de FTP, puis redémarrer le contrôleur de gestion sur les deux contrôleurs pour que les deux contrôleurs disposent du certificat.

[grpadmin@hitle18 certifications]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18 certificats]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certificats]$ ftp 100.85.239.3
Connecté à 100.85.239.3 (100.85.239.3).
220-Bienvenue dans Pure-FTPd.
220-Vous êtes le numéro d’utilisateur 1 sur 5 autorisé.
220-Heure locale est maintenant 23 :29. Port du serveur : 21.220-Il s’agit d’un système privé : aucune connexion
anonyme 220-IPv6 n’est également bienvenue sur ce serveur.

220 Vous serez déconnecté après 15 minutes d’inactivité.
Nom (100.85.239.3 :grpadmin) : manage
331 L’utilisateur gère OK. Mot de passe requis
Mot de passe:
230-OK. Le répertoire restreint actuel est /.
.
.
230-Instructions pour le chargement des fichiers de certificat de sécurité :
230- 1. Les fichiers de certificat de sécurité se composent d’une paire de fichiers.
230 - Vous disposez d’un fichier de certificat et d’un fichier de clé.
230 à 2. Connectez-vous avec un nom d’utilisateur et un mot de passe.
230 à 3. Saisissez « put <certificate-file-name> cert-file »
230, où <certificate-file-name> est le nom du fichier
de certificat230 pour votre système spécifique.
230 à 4. Saisissez « put <key-file-name> cert-key-file »
230- où <key-file-name> est le nom du fichier de clé de sécurité pour
230- votre système spécifique.
230 à 5.  Redémarrez les deux contrôleurs de gestion pour disposer de la nouvelle sécurité
230 - Le certificat prend effet.
230 -
230
Le type de système distant est UNIX.
Utilisation du mode binaire pour transférer des fichiers.
ftp> met 2048b-rsa-example-cert.pem cert-file
local : 2048b-rsa-example-cert.pem distant : cert-file
227 Passer en mode passif (100,85,239,3,127,0)
150 Connexions de données acceptées
226- Transfert de fichiers terminé. Opération de démarrage : (2020-12-10 17 :40 :12)
STATUT: Chargement du fichier
de certificat de sécurité226 -
226 Opération terminée. (2020-12-10 17 :40 :18)
1 050 octets envoyés en 9,4 à 05 secondes (1 1170,21 Ko/s)
ftp> a placé 2048b-rsa-example-keypair.pem cert-key-file
local : 2048b-rsa-example-keypair.pem distant : cert-key-file
227 Passer en mode passif (100,85,239,3,204,57)
150 Connexions de données acceptées
226- Transfert de fichiers terminé. Opération de démarrage : (2020-12-10 17 :40 :37)
STATUT: Chargement du fichier
de certificat de sécuritéVérification du certificat et de la clé téléchargés.

Le certificat et la clé SSL téléchargés ont été installés. Redémarrez le contrôleur pour l’appliquer.
226 -
226 Opération terminée. (2020-12-10 17 :40 :45)
1 679 octets envoyés en 8,5 à 05 secondes (1 9752,94 Ko/s)
ftp> ls
227 En mode passif (100,85,239,3,189,193)
150 Connexion
de données acceptée-rw-rw-rw- 1 0 utilisateurs 0 10 décembre 17 :400-rw-r--- 1 0 0 8436 2 décembre 2 20 :39 README
226-Options
 : -L
226 2 correspondances au total
ftp> bye
221-Au revoir. Vous avez téléchargé 3 ko et téléchargé 0 Ko.
221 Déconnexion.
[grpadmin@hitle18 certificats]$ ftp 100.85.238.178
Connecté à 100.85.238.178 (100.85.238.178).
220-Bienvenue dans Pure-FTPd.
220-Vous êtes le numéro d’utilisateur 1 sur 5 autorisé.
220-Heure locale est maintenant 23 :30. Port du serveur : 21.220-Il s’agit d’un système privé : aucune connexion
anonyme 220-IPv6 n’est également bienvenue sur ce serveur.

220 Vous serez déconnecté après 15 minutes d’inactivité.
Nom (100.85.238.178 :grpadmin) : manage
331 L’utilisateur gère OK. Mot de passe requis
Mot de passe:
230-OK. Le répertoire restreint actuel est /
.
.
.
Le type de système distant est UNIX.
Utilisation du mode binaire pour transférer des fichiers.
ftp> met 2048b-rsa-example-cert.pem cert-file
local : 2048b-rsa-example-cert.pem distant : cert-file
227 Passer en mode passif (100,85,238,178,126,144)
150 Connexions de données acceptées
226- Transfert de fichiers terminé. Opération de démarrage : (2020-12-11 23 :30 :22)
STATUT: Chargement du fichier
de certificat de sécurité226 -
226 Opération terminée. (2020-12-11 23 :30 :28)
1 050 octets envoyés en 4,7 à 05 secondes (2 2340,42 Ko/s)
ftp> a placé 2048b-rsa-example-keypair.pem cert-key-file
local : 2048b-rsa-example-keypair.pem distant : cert-key-file
227 Passer en mode passif (100,85,238,178,200,227)
150 Connexions de données acceptées
226- Transfert de fichiers terminé. Opération de démarrage : (2020-12-11 23 :30 :40)
STATUT: Chargement du fichier
de certificat de sécuritéVérification du certificat et de la clé téléchargés.

Le certificat et la clé SSL téléchargés ont été installés. Redémarrez le contrôleur pour l’appliquer.
226 -
226 Opération terminée. (2020-12-11 23 :30 :47)
1 679 octets envoyés en 5,2e à 05 secondes (3 228,46 Ko/s)
ftp> bye
221-Au revoir. Vous avez téléchargé 3 ko et téléchargé 0 Ko.
221 Déconnexion.
[grpadmin@hitle18 certificats]$ ssh manage@100.85.239.3
Mot de passe:

DELL EMC ME4024
Nom du système : NDC-ME4
Emplacement du système : NDC
Version: GT280R008-01
# redémarrer les deux
Au cours du processus de redémarrage, vous perdrez brièvement la communication avec le ou les contrôleurs de gestion spécifiés.
Voulez-vous continuer ? (y/n) y
Info: Redémarrage du contrôleur de gestion local (A)...
Succès: la commande s’est correctement terminée. - Les deux cartes MC ont été redémarrées. (2020-12-11 23 :31 :26)
Nombre de personnes arrêtées
Connexion à la version 100.85.239.3 fermée.
.
.  Il vous faudra environ 2 minutes pour pouvoir vous reconnecter à la baie pour
.  voir les certificats
.
[grpadmin@hitle18 certificats]$ ssh manage@100.85.239.3
Mot de passe:

DELL EMC ME4024
Nom du système : NDC-ME4
Emplacement du système : NDC
Version: GT280R008-01
# afficher les
certificatsErreur: La commande n’a pas été reconnue. (2020-12-11 23 :36 :35)
# afficher le certificat
État
du certificat------------------
Contrôleur: Un
État du certificat : Fourni par le
clientHeure de création : 2020-12-11 23 :29 :29
Texte du certificat : Certificat:
    Data:
        Version : 1 (0x0)
Numéro de série : 3580 (0xdfc)
Algorithme de signature : sha1WithRSAEncryption
Émetteur: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Validité
Pas avant : 22 août 2012 05 :27 :41 GMT
Pas après : 21 août 2017 05 :27 :41 GMT
Objet: C=JP, ST =Tokyo, O=Frank4DD, CN=www.example.com
Subject Public Key Info (Informations sur la clé publique d’objet) :
            Algorithme de clé publique : rsaEncryption
Clé publique RSA : (2 048 bits)
Module:
                    00 :b4 :cf :d1 :5e :33 :29 :ec :0b :cf :ae :76 :f5 :fe :2d :
                    c8 :99 :c6 :78 :79 :b9 :18 :f8 :0b :d4 :ba :b4 :d7 :9e :02 :
                    52 :06 :09 :f4 :18 :93 :4c :d4 :70 :d1 :42 :a0 :29 :13 :92 :
                    73 :50 :77 :f6 :04 :89 :ac :03 :2c :d6 :f1 :06 :ab :ad :6c :
                    c0 :d9 :d5 :a6 :ab :ca :cd :5a :d2 :56 :26 :51 :e5 :4b :08 :
                    8a :af :cc :19 :0f :25 :34 :90 :b0 :2a :29 :41 :0f :55 :f1 :
                    6b :93 :db :9d :b3 :cc :dc :ec :eb :c7 :55 :18 :d7 :42 :25 :
                    de :49 :35 :14 :32 :92 :9c :1e :c6 :69 :e3 :3c :fb :f4 :9a :
                    f8 :fb :8b :c5 :e0 :1b :7e :fd :4f :25 :ba :3f :e5 :96 :57 :
                    9a :24 :79 :49 :17 :27 :d7 :89 :4b :6a :2e :0d :87 :51 :d9 :
                    23 :3d :06 :85 :56 :f8 :58 :31 :0e :ee :81 :99 :78 :68 :cd :
                    6e :44 :7e :c9 :da :8c :5a :7b :1c :bf :24 :40 :29 :48 :d1 :
                    03 :9c :ef :dc :ae :2a :5d :f8 :f7 :6a :c7 :e9 :bc :c5 :b0 :
                    59 :f6 :95 :fc :16 :cb :d8 :9c :ed :c3 :fc :12 :90 :93 :78 :
                    5a :75 :b4 :56 :83 :fa :fc :41 :84 :f6 :64 :79 :34 :35 :1c :
                    ac :7a :85 :0e :73 :78 :72 :01 :e7 :24 :89 :25 :9e :da :7f :
                    65 :bc :af :87 :93 :19 :8c :db :75 :15 :b6 :e0 :30 :c7 :08 :
                    f8 :59
Exposant: 65537 (0x10001)
Algorithme de signature : sha1WithRSAEncryption
40 :cb :fe :04 :5b :c6 :74 :c5 :73 :91 :06 :90 :df :ff :b6 :9e :85 :73 :
         fe :e0 :0a :6f :3a :44 :2f :cc :53 :73 :16 :32 :3f :79 :64 :39 :e8 :78 :
         16 :8c :62 :49 :6a :b2 :e6 :91 :85 :00 :b7 :4f :38 :da :03 :b9 :81 :69 :
         2e :18 :c9 :49 :96 :84 :c2 :eb :e3 :23 :f4 :eb :ac :68 :4b :57 :5a :51 :
         1b :d7 :eb :c0 :31 :6c :86 :a0 :f6 :55 :a8 :f8 :10 :d0 :42 :06 :1e :94 :
         a5 :e0 :68 :a7 :9f :b6 :f3 :9c :d0 :e1 :22 :3b :ab :85 :3d :a1 :27 :9b :
         50 :32 :62 :b8 :ec :7a :fa :d6 :7d :2b :29 :e6 :ad :b2 :69 :4d :28 :b4 :
         f8 :13


État
du certificat------------------
Contrôleur: B État du certificat : Fourni par le
clientHeure de création : 2020-12-11 23 :30 :22
Texte du certificat : Certificat:
    Data:
        Version : 1 (0x0)
Numéro de série : 3580 (0xdfc)
Algorithme de signature : sha1WithRSAEncryption
Émetteur: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Validité
Pas avant : 22 août 2012 05 :27 :41 GMT
Pas après : 21 août 2017 05 :27 :41 GMT
Objet: C=JP, ST =Tokyo, O=Frank4DD, CN=www.example.com
Subject Public Key Info (Informations sur la clé publique d’objet) :
            Algorithme de clé publique : rsaEncryption
Clé publique RSA : (2 048 bits)
Module:
                    00 :b4 :cf :d1 :5e :33 :29 :ec :0b :cf :ae :76 :f5 :fe :2d :
                    c8 :99 :c6 :78 :79 :b9 :18 :f8 :0b :d4 :ba :b4 :d7 :9e :02 :
                    52 :06 :09 :f4 :18 :93 :4c :d4 :70 :d1 :42 :a0 :29 :13 :92 :
                    73 :50 :77 :f6 :04 :89 :ac :03 :2c :d6 :f1 :06 :ab :ad :6c :
                    c0 :d9 :d5 :a6 :ab :ca :cd :5a :d2 :56 :26 :51 :e5 :4b :08 :
                    8a :af :cc :19 :0f :25 :34 :90 :b0 :2a :29 :41 :0f :55 :f1 :
                    6b :93 :db :9d :b3 :cc :dc :ec :eb :c7 :55 :18 :d7 :42 :25 :
                    de :49 :35 :14 :32 :92 :9c :1e :c6 :69 :e3 :3c :fb :f4 :9a :
                    f8 :fb :8b :c5 :e0 :1b :7e :fd :4f :25 :ba :3f :e5 :96 :57 :
                    9a :24 :79 :49 :17 :27 :d7 :89 :4b :6a :2e :0d :87 :51 :d9 :
                    23 :3d :06 :85 :56 :f8 :58 :31 :0e :ee :81 :99 :78 :68 :cd :
                    6e :44 :7e :c9 :da :8c :5a :7b :1c :bf :24 :40 :29 :48 :d1 :
                    03 :9c :ef :dc :ae :2a :5d :f8 :f7 :6a :c7 :e9 :bc :c5 :b0 :
                    59 :f6 :95 :fc :16 :cb :d8 :9c :ed :c3 :fc :12 :90 :93 :78 :
                    5a :75 :b4 :56 :83 :fa :fc :41 :84 :f6 :64 :79 :34 :35 :1c :
                    ac :7a :85 :0e :73 :78 :72 :01 :e7 :24 :89 :25 :9e :da :7f :
                    65 :bc :af :87 :93 :19 :8c :db :75 :15 :b6 :e0 :30 :c7 :08 :
                    f8 :59
Exposant: 65537 (0x10001)
Algorithme de signature : sha1WithRSAEncryption
40 :cb :fe :04 :5b :c6 :74 :c5 :73 :91 :06 :90 :df :ff :b6 :9e :85 :73 :
         fe :e0 :0a :6f :3a :44 :2f :cc :53 :73 :16 :32 :3f :79 :64 :39 :e8 :78 :
         16 :8c :62 :49 :6a :b2 :e6 :91 :85 :00 :b7 :4f :38 :da :03 :b9 :81 :69 :
         2e :18 :c9 :49 :96 :84 :c2 :eb :e3 :23 :f4 :eb :ac :68 :4b :57 :5a :51 :
         1b :d7 :eb :c0 :31 :6c :86 :a0 :f6 :55 :a8 :f8 :10 :d0 :42 :06 :1e :94 :
         a5 :e0 :68 :a7 :9f :b6 :f3 :9c :d0 :e1 :22 :3b :ab :85 :3d :a1 :27 :9b :
         50 :32 :62 :b8 :ec :7a :fa :d6 :7d :2b :29 :e6 :ad :b2 :69 :4d :28 :b4 :
         f8 :13


Succès: la commande s’est correctement terminée. (2020-12-11 23 :36 :41)
#