Article Number: 000181074
PowerVault ME4:安装和删除自定义证书
Summary: 本文介绍通过 FTP 为 Dell PowerVault ME 系列存储产品安装自定义证书的步骤。
Article Content
Instructions
在 ME4 上安装/删除自定义证书
安装证书。
查看证书信息。
删除自定义证书。
仅使用 Linux 和 ME4 SSH 会话的 CLI 示例。
安装证书。
执行以下步骤以安装第三方或自签名安全证书:
-
在 PowerVault Manager 中,准备使用 FTP 或 SFTP:
-
确定 ME4 System Settings Network 下系统控制器的 > 网络端口 IP 地址。
-
验证 ME4 系统设置 > 服务下的系统上是否已启用 FTP 或 SFTP 服务。如果使用 SFTP,请记录将设置为使用的端口 SFTP。
-
-
验证您计划使用的用户是否具有 ME4 System Settings > Manage Users 下的角色权限以及 FTP 或 SFTP 界面权限。
-
将证书文件和密钥文件放入可供 FTP 客户端访问的目录中。证书和密钥文件的格式必须是 PEM。如果您使用 DER 文件,则可以上传它们,但在您重新启动控制器上的管理时无法使用这些文件。提醒:ME4 支持通配符证书。
-
打开命令提示符 (Windows) 或终端窗口 (UNIX),然后转至包含证书文件的目录。您不能使用像 Filezilla 客户端这样的 UI,因为 put 行需要在文件名之后使用命令参数。
(提醒:如果已启用防火墙,则 Windows FTP 无法执行被动 FTP。它可能能够登录到 ME4 阵列,但在尝试发送文件时出现端口连接问题时出错。如果您想要使用 Windows 命令行 FTP,则必须在启动之前禁用 Windows 防火墙。)
-
键入: sftp controller-network-address -P port or ftp controller-network-address 。您必须将文件上传到两个控制器,才能在两个控制器上使用。
例如: sftp 10.235.XXX.XXX -P 1022 或 ftp 10.X.0.X X。
以具有管理角色权限和 FTP 或 SFTP 接口权限的用户身份登录。在这些示例中,我使用了 WinSCP FTP 命令行客户端,但如果禁用 Windows 防火墙,则可以使用 Windows FTP 客户端。也可以使用 Linux 客户端。
C:\Users\Administrator\Documents\SSLCerts\2048PEM>“c:\Program Files (x86)\WinSCP\WinSCP.com”
winscp> open ftp://100.85.XXX.X
提示输入凭据...
用户名:管理
连接到 100.85.XXX.X...
密码:
Connected
启动会话...
会话已启动。
活动会话:[1] 100.85.XXX.X
winscp>
-
类型: 输入 certificate-file-name cert-file ,其中证书文件名是特定系统的证书文件的名称。您可能会收到文件错误,因为将证书放入的目录是 FTP 用户没有修改权限的隐藏目录。
winscp> 将 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe | 1 KB | 0.0 KB/s |二进制 |100%
winscp>
-
键入: put key-file-name cert-key-file ,其中 key-file-name 是特定系统的安全密钥文件的名称。
winscp> 将 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair | 1 KB | 0.0 KB/s |二进制 |100%
winscp>
-
请注意,如果在上传这些文件后在阵列 FTP 站点上执行目录列表,您将看不到这些文件。 它们存储在 FTP 用户无法查看的隐藏目录中。
winscp> ls
D--------- 0 0 ..
Lrwxrwxrwx 0 0 0 12 Dec 2 13:19:33 2020.banner ->
-rw-rw-rw- 0 0 10 0 12 月 0 日 2 14:46:49 2020 0-rw-r
--r-- 0 0 0 0 8436 Dec 2 13:19:33 2020 README
winscp>
-
对另一个控制器重复步骤 4、5、6 和 7。
-
重新启动两个管理控制器以使新的安全证书生效。管理控制器重新启动后,您应该能够通过 UI(如下所示)或通过 SSH 命令“show certificate”查看证书。
查看证书信息。
默认情况下,系统为每个控制器生成唯一的 SSL 证书。为了获得最强的安全性,您可以将系统生成的默认证书替换为由受信任的证书颁发机构颁发的证书。
“证书信息”面板显示每个控制器的系统上存储的活动 SSL 证书的信息。选项卡 A 和 B 包含每个对应控制器的未格式化证书文本。该面板还显示以下状态值之一以及每个证书的创建日期:
-
客户提供的 - 表示控制器正在使用您上传的证书。
-
系统生成 - 表示控制器正在使用由控制器创建的活动证书和密钥。
-
未知状态 - 表示无法读取控制器的证书。当控制器重新启动、证书更换过程仍在进行,或者您已在单控制器系统中为合作伙伴控制器选择选项卡时,最常会发生这种情况。
您可以使用自己的证书,方法是通过 FTP 或 SFTP 上传证书,或者使用创建证书 CLI 命令的内容参数创建具有您自己的唯一证书内容的证书。要使新证书生效,您必须先重新启动管理控制器。
要验证证书更换是否成功,并且控制器正在使用您提供的证书,请确保证书状态为客户提供的,创建日期正确,并且证书内容是预期文本。
查看证书信息:
-
在横幅中,单击系统面板,然后选择 显示证书信息 。此时将打开 证书信息 面板。
-
查看完证书信息后,单击 关闭 。
安装证书之前,信息如下所示 — 系统生成:
安装您自己的证书后,它将标识为客户提供的证书:
删除自定义证书。
要恢复系统生成的证书并从两个控制器中删除自定义证书,请登录到每个控制器并运行命令:
# create certificate restore
要使证书更改生效,您必须在执行 命令的所有控制器上重新启动管理控制器。
仅使用 Linux 和 ME4 SSH 会话的 CLI 示例。
-
创建证书并将 PEM .cer 和 .key 放在 Linux 计算机上。
-
从 Linux 框上的 SSH 会话中,使用 FTP 将文件传输到阵列,然后打开到阵列的 SSH 会话,以重新启动 ME4 上的两个控制器。重新启动 ME4 管理控制器后大约需要两分钟时间,您才能重新登录到 ME4 并显示新证书。提醒:一个控制器可能需要比另一个控制器更长的时间,因此在两个控制器完全启动之前,您可能会在系统证书上看到一个控制器,在客户证书上看到一个控制器。
在下面的示例中,ME4 控制器 IP 为:
答: 100.85.XXX.X
B: 100.85.XXX.XX8
您必须使用 FTP 将证书和密钥文件上传到两个控制器,然后重新启动两个控制器上的管理控制器,以便两个控制器都具有证书。
[grpadmin@hitle18证书]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18证书]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18证书]$ ftp 100.85.239.3
连接到 100.85.239.3 (100.85.239.3)。
220 - 欢迎使用 Pure-FTPd。
220 - 您是允许的用户编号 1,共 5 个。
220-本地时间现在是 23:29。服务器端口:21.220
- 这是一个专用系统 -此服务器上也欢迎匿名登录
220-IPv6 连接。
220 您将在处于非活动状态 15 分钟后断开连接。
名称 (100.85.239.3:grpadmin):管理
331 用户管理 OK。需要
密码密码:
230-OK。当前受限目录为 / 。
.
.
230- 加载安全证书文件的说明:
230-1.安全证书文件将包含一对文件。
230 — 您将有一个证书文件和一个密钥文件。
230-2.使用用户名和密码登录。
230-3.键入“put <certificate-file-name> cert-file”
230- 其中 <certificate-file-name> 是特定系统的证书文件
230 的名称。
230-4.键入“put <key-file-name> cert-key-file'230
- 其中 <key-file-name> 是230 - 您的特定系统的安全密钥文件
的名称。
230-5. 重新启动两个管理控制器以获得新的安全性
230- 证书生效。
230-
230
远程系统类型为 UNIX。
使用二进制模式传输文件。
ftp> 将 2048b-rsa-example-cert.pem cert-file
置于本地:2048b-rsa-example-cert.pem remote:cert-file
227 进入被动模式 (100、85、239、3、127、0)
150 接受的数据连接
226 - 文件传输完成。启动操作:(2020-12-10 17:40:12)
地位:加载安全证书文件
226-
226 操作完成。(2020-12-10 17:40:18)
9.4e-05 秒(11170.21 KB/秒)
发送的 1050 字节ftp> 将 2048b-rsa-example-keypair.pem cert-key-file
放在本地:2048b-rsa-example-keypair.pem remote:cert-key-file
227 进入被动模式 (100、85、239、3、204、57)
150 接受的数据连接
226 - 文件传输完成。启动操作:(2020-12-10 17:40:37)
地位:加载安全证书文件
验证上传的证书和密钥。
已安装上传的 SSL 证书和密钥。重新启动控制器以应用。
226-
226 操作完成。(2020-12-10 17:40:45)
以 8.5e-05 秒(19752.94 KB/秒)发送的 1679 字节
ftp> ls
227 进入被动模式 (100,85,239,3,189,193)
150 已接受的数据连接
-rw-rw-rw- 1 1 0 用户 0 12 月 10 日 17:400-rw-r--r-- 1 0 0 8436 Dec 2 20:39 自述文件
226-选项:
-我
共 226 2 个匹配项
ftp> bye
221- 再见。您上传了 3 个,下载了 0 KB。
221 注销。
[grpadmin@hitle18证书]$ ftp 100.85.238.178
连接到 100.85.238.178 (100.85.238.178)。
220 - 欢迎使用 Pure-FTPd。
220 - 您是允许的用户编号 1,共 5 个。
220-本地时间现在是 23:30。服务器端口:21.220
- 这是一个专用系统 -此服务器上也欢迎匿名登录
220-IPv6 连接。
220 您将在处于非活动状态 15 分钟后断开连接。
名称 (100.85.238.178:grpadmin): manage
331 用户管理 OK。需要
密码密码:
230-OK。当前受限目录为 /
.
.
.
远程系统类型为 UNIX。
使用二进制模式传输文件。
ftp> 将 2048b-rsa-example-cert.pem cert-file
置于本地:2048b-rsa-example-cert.pem remote:cert-file
227 进入被动模式 (100、85、238、178、126、144)
150 接受的数据连接
226 - 文件传输完成。启动操作:(2020-12-11 23:30:22)
地位:加载安全证书文件
226-
226 操作完成。(2020-12-11 23:30:28)
4.7e-05 秒(22340.42 KB/秒)
发送的 1050 字节ftp> 将 2048b-rsa-example-keypair.pem cert-key-file
放在本地:2048b-rsa-example-keypair.pem remote:cert-key-file
227 进入被动模式 (100、85、238、178、200、227)
150 接受的数据连接
226 - 文件传输完成。启动操作:(2020-12-11 23:30:40)
地位:加载安全证书文件
验证上传的证书和密钥。
已安装上传的 SSL 证书和密钥。重新启动控制器以应用。
226-
226 操作完成。(2020-12-11 23:30:47)
5.2e-05 秒(32288.46 KB/秒)发送的 1679 字节
ftp> bye
221- 再见。您上传了 3 个,下载了 0 KB。
221 注销。
[grpadmin@hitle18证书]$ ssh manage@100.85.239.3
密码:
DELL EMC ME4024
系统名称:NDC-ME4
系统位置:NDC
版本:GT280R008-01
# restart mc both
在重新启动过程中,您将短暂失去与指定管理控制器的通信。
是否要继续?(y/n) y
信息:重新启动本地 MC (A)...
成功:Command completed successfully.- 两个 MC 均已重新启动。(2020-12-11 23:31:26)
# 已终止
连接到 100.85.239.3 已关闭。
.
. 您需要大约 2 分钟才能重新登录到阵列
. 请参阅证书
.
[grpadmin@hitle18证书]$ ssh manage@100.85.239.3
密码:
DELL EMC ME4024
系统名称:NDC-ME4
系统位置:NDC
版本:GT280R008-01
# 显示证书
错误:未识别命令。(2020-12-11 23:36:35)
# show certificate(显示证书
)证书状态
------------------
控制器:A
证书状态:客户提供
创建时间:2020-12-11 23:29:29
证书文本:证书:
Data:
版本:1(0x0)
序列号:3580 (0xdfc)
签名算法:sha1WithRSAEncryption
发行:C=JP,ST=东京,L=Chuo-ku,O=Frank4DD,OU=WebCert 支持,CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
有效性
之前未提供:2012 年 8 月 22 日 05:27:41 GMT
不在之后:2017 年 8 月 21 日 05:27:41 GMT
主题:C=JP,ST=东京,O=Frank4DD,CN=www.example.com
主题公钥信息:
公钥算法:rsaEncryption
RSA 公钥:(2048 位)
模:
00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
f8:59
指数:65537 (0x10001)
签名算法:sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
f8:13
证书状态
------------------
控制器:B 证书状态:客户提供
创建时间:2020-12-11 23:30:22
证书文本:证书:
Data:
版本:1(0x0)
序列号:3580 (0xdfc)
签名算法:sha1WithRSAEncryption
发行:C=JP,ST=东京,L=Chuo-ku,O=Frank4DD,OU=WebCert 支持,CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
有效性
之前未提供:2012 年 8 月 22 日 05:27:41 GMT
不在之后:2017 年 8 月 21 日 05:27:41 GMT
主题:C=JP,ST=东京,O=Frank4DD,CN=www.example.com
主题公钥信息:
公钥算法:rsaEncryption
RSA 公钥:(2048 位)
模:
00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
f8:59
指数:65537 (0x10001)
签名算法:sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
f8:13
成功:Command completed successfully.(2020-12-11 23:36:41)
#
Article Properties
Affected Product
ME Series
Last Published Date
09 Mar 2023
Version
2
Article Type
How To