Installation af certifikatet.
Visning af certifikatoplysninger.
Fjernelse af brugerdefinerede certifikater.
Kun CLI-eksempel ved brug af Linux- og ME4 SSH-session.
Udfør følgende trin for at installere et tredjeparts- eller selvsigneret sikkerhedscertifikat:
I PowerVault Manager skal du forberede dig til at bruge FTP eller SFTP:
Find ip-adresserne på netværksporten på systemcontrollerne under ME4 System Settings > Network.
Kontroller, at FTP- eller SFTP-tjenesten er aktiveret på systemet under ME4-systemindstillingstjenester > . Hvis du bruger SFTP, skal du registrere, hvilken port SFTP er indstillet til at bruge.
Kontrollér, at den bruger, du planlægger at bruge, har administratorrolletilladelser og FTP- eller SFTP-grænsefladetilladelser under ME4 System Settings > Manage Users.
Sæt certifikatfilen og nøglefilen i en mappe, der er tilgængelig for FTP-klienten. Certifikatformatet og nøglefilen skal være PEM. Hvis du bruger DER-filer, kan du uploade dem, men de kan ikke bruges, når du genstarter administrationen på controllerne. Bemærk: ME4 understøtter wildcard-certifikater.
Åbn en kommandoprompt (Windows) eller et terminalvindue (UNIX), og gå til den mappe, der indeholder certifikatfilerne. Du kan ikke bruge en brugergrænseflade som Filezilla-klienten, fordi put-linjen kræver kommandoparametre efter filnavnet.
(Bemærk: Windows FTP kan ikke udføre passiv FTP, hvis firewallen er aktiveret. Det kan være i stand til at logge på ME4-systemet, men fejler derefter ud med en portforbindelsesproblem under forsøg på at sende filer. Hvis du vil bruge Ftp-kommandolinjen i Windows, skal du deaktivere Windows Firewall, før du starter.)
Skriv: sftp controller-network-address -P port or ftp controller-network-address. Du skal overføre filerne til begge controllere, før de kan bruges på begge controllere.
For eksempel: sftp 10.235.XXX.XXX -P 1022 eller ftp 10.X.0.X.
Log på som bruger med administratorrolletilladelser og FTP- eller SFTP-grænsefladetilladelser. I disse eksempler har jeg brugt WinSCP FTP-kommandolinjeklienten, men hvis du deaktiverer Windows Firewall, kan du bruge Windows FTP-klienten. En Linux-klient kan også bruges.
C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
Beder om legitimationsoplysninger...
Brugernavn: Administrer
tilslutning til 100.85.XXX.X ...
Adgangskode:
Connected Starter
sessionen...
Sessionen er startet.
Aktiv session: [1] 100,85,XXX.X
winscp>
Skriv: sæt certifikat-filnavn cert-file , hvor certifikat filnavnet er navnet på certifikatfilen for dit specifikke system. Du kan få en filfejl, fordi den mappe, som certifikatet placeres i, er en skjult mappe, som FTP-brugeren ikke har tilladelse til at ændre.
winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe | 1 KB | 0,0 KB/s | binær | 100 %
winscp>
Skriv: put key-file-name cert-key-file, hvor key-file-name er navnet på sikkerhedsnøglefilen for dit specifikke system.
winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair | 1 KB | 0,0 KB/s | binær | 100 %
winscp>
Bemærk, at hvis du foretager en mappeliste på systemets FTP-websted efter upload af disse filer, vil du ikke se filerne. De er gemt i skjulte mapper, som FTP-brugeren ikke kan se på.
winscp> ls
D--------- 0 0..
Lrwxrwxrwx 0 0 0 12 dec 2 13:19:33 2020 .banner ->
-rw-rw-rw- 0 0 10 0 December 2 14:46:49 2020 0-rw-r-r
-- 0 0 0 8436 Dec 2 13:19:33 2020 README
winscp>
Gentag trin 4, 5, 6 og 7 for den anden controller.
Genstart begge Management Controllers, for at det nye sikkerhedscertifikat kan træde i kraft. Når administrationscontrollerne er genstartet, bør du kunne se certifikatet via brugergrænsefladen som vist nedenfor eller via SSH-kommandoen "show certificate".
Som standard genererer systemet et unikt SSL-certifikat for hver controller. For den stærkeste sikkerhed kan du erstatte det systemgenererede standardcertifikat med et certifikat udstedt fra et sikkert nøglecenter.
Panelet Certifikatoplysninger viser oplysninger om de aktive SSL-certifikater, der er gemt på systemet for hver controller. Fanerne A og B indeholder uformateret certifikattekst for hver af de tilsvarende controllere. Panelet viser også en af følgende statusværdier samt oprettelsesdatoen for hvert certifikat:
Kundens angiver, at controlleren anvender et certifikat, som du har uploadet.
Systemgenereret – Angiver, at controlleren bruger et aktivt certifikat og en aktiv nøgle, der blev oprettet af controlleren.
Ukendt status – Angiver, at controllerens certifikat ikke kan læses. Dette sker oftest, når en controller genstartes, certifikatudskiftningsprocessen er stadig i gang, eller du har valgt fanen for en partnercontroller i et system med en enkelt controller.
Du kan bruge dine egne certifikater ved at uploade dem via FTP eller SFTP eller ved at bruge indholdsparameteret for kommandoen Opret certifikat CLI til at oprette certifikater med dit eget unikke certifikatindhold. Hvis et nyt certifikat skal træde i kraft, skal du først genstarte styringscontrolleren for det.
For at kontrollere, at certifikatudskiftning lykkedes, og at controlleren bruger det certifikat, du har leveret, skal du sørge for, at certifikatstatussen er leveret af kunden, at oprettelsesdatoen er korrekt, og at certifikatindholdet er den forventede tekst.
Vis certifikatoplysninger:
I banneret skal du klikke på systempanelet og vælge Vis certifikatoplysninger. Panelet Certifikatoplysninger åbnes.
Når du er færdig med at få vist certifikatoplysningerne, skal du klikke på Luk.
Før installation af et certifikat ser oplysningerne ud som følger – System genereret:
Efter installation af dit eget certifikat vil det blive identificeret som kundens leverede:
For at gendanne det systemgenererede certifikat og fjerne det brugerdefinerede certifikat fra begge controllere skal du logge på hver controller og køre kommandoen:
# opret certifikatgendannelse
For at få certifikatændringen til at træde i kraft skal du genstarte Management Controller på alle de controllere, du har kørt kommandoen på.
Opret certifikatet, og læg PEM.cer og .key på din Linux-maskine.
Overfør filerne ved hjælp af FTP til systemet fra en SSH-session i Linux-boksen, og åbn derefter en SSH-session til systemet for at genstarte begge controllere på ME4. Det tager ca. to minutter efter genstart af ME4-administrationscontrollerne, før du kan logge ind på ME4 igen og vise det nye certifikat. Bemærk: Den ene controller kan være længere tid om at komme op end den anden, så indtil begge controllere er fuldt op, kan du muligvis se én controller på et systemcertifikat og én på et kundecertifikat.
I eksemplet nedenfor er IP'erne for ME4-controlleren:
Sv.: 100.85.XXX.X
B: 100.85.XXX.XX8
Du skal overføre certifikat- og nøglefilen til begge controllere ved hjælp af FTP og derefter genstarte administrationscontrolleren på begge controllere, for at begge controllere kan have certifikatet.
[grpadmin@hitle18 certs]$ pwd
/home/grpadmin/Dokumenter/certifikater
[grpadmin@hitle18 certifikater]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certs]$ ftp 100.85.239.3
Tilsluttet til 100.85.239.3 (100.85.239.3).
220-Velkommen til Ren-FTPd.
220 -Du er brugernummer 1 af 5 tilladt.
220-Lokal tid er nu 23:29. Serverport: 21.220
– Dette er et privat system – ingen anonyme login
220-IPv6-forbindelser er også velkommen på denne server.
220 Du bliver afbrudt efter 15 minutters inaktivitet.
Navn (100.85.239.3:grpadmin): administrer
331 Bruger administrerer OK. Adgangskode påkrævet
Adgangskode:
230-OK. Aktuelt begrænset mappe er /.
.
.
230-Instruktioner til indlæsning af sikkerhedscertifikatfiler:
230-1. Sikkerhedscertifikatfilerne består af et par filer.
230 – Du har en certifikatfil og en nøglefil.
230-2. Log på med et brugernavn og en adgangskode.
230-3. Skriv "put <certificate-file-name> cert-file"
230- hvor <certificate-file-name> er navnet på certifikatfilen
230 - for dit specifikke system.
230-4. Skriv "put <key-file-name> cert-key-file"
230- hvor <key-file-name> er navnet på sikkerhedsnøglefilen for
230 - dit specifikke system.
230-5. Genstart begge Management Controllers for at få den nye sikkerhed
230-certifikatet træder i kraft.
230-
230
Fjernsystemtypen er UNIX.
Brug af binær tilstand til at overføre filer.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 Går i passiv tilstand (100,85,239,3.127,0)
150 Accepteret dataforbindelse
226-filoverførsel fuldført. Starthandling: (2020-12-10 17:40:12)
STATUS: Indlæser sikkerhedscertifikatfil
226-
226 Handling fuldført. (2020-12-10 17:40:18)
1050 bytes sendt på 9,4e-05 sek. (11170,21 Kbytes/sek.)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 Går i passiv tilstand (100,85,239,3,204,57)
150 Accepteret dataforbindelse
226-filoverførsel fuldført. Starthandling: (2020-12-10 17:40:37)
STATUS: Indlæser sikkerhedscertifikatfil
Bekræfter det uploadede certifikat og den uploadede nøgle.
Det uploadede SSL-certifikat og nøglen er blevet installeret. Genstart controlleren for at anvende.
226-
226 Handling fuldført. (2020-12-10 17:40:45)
1679 bytes sendt på 8,5e-05 sek. (19752,94 Kbytes/sek.)
ftp> ls
227 Entering Passive Mode (100,85,239,3,189,193)
150 Accepted dataconnection-rw-rw-rw- 1 0 brugere 0 dec 10 17:400-rw-r-r-- 1 0 0 8436 Dec 2 20:39 README
226-Options:
-L
226 2 matches i alt
ftp> bye
221-Slut. Du har uploadet 3 og downloadet 0 kbytes.
221 Log ud.
[grpadmin@hitle18 certs]$ ftp 100.85.238.178
Tilsluttet til 100.85.238.178 (100.85.238.178).
220-Velkommen til Ren-FTPd.
220 -Du er brugernummer 1 af 5 tilladt.
220-Lokal tid er nu 23:30. Serverport: 21.220
– Dette er et privat system – ingen anonyme login
220-IPv6-forbindelser er også velkommen på denne server.
220 Du bliver afbrudt efter 15 minutters inaktivitet.
Navn (100.85.238.178:grpadmin): administrer
331 Bruger administrerer OK. Adgangskode påkrævet
Adgangskode:
230-OK. Aktuelt begrænset mappe er /
.
.
.
Fjernsystemtypen er UNIX.
Brug af binær tilstand til at overføre filer.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 Går i passiv tilstand (100.85.238.178.126.144)
150 Accepteret dataforbindelse
226-filoverførsel fuldført. Starthandling: (2020-12-11 23:30:22)
STATUS: Indlæser sikkerhedscertifikatfil
226-
226 Handling fuldført. (2020-12-11 23:30:28)
1050 bytes sendt på 4,7e-05 sek. (22340,42 Kbytes/sek.)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 Går i passiv tilstand (100.85.238.178.200.227)
150 Accepteret dataforbindelse
226-filoverførsel fuldført. Starthandling: (2020-12-11 23:30:40)
STATUS: Indlæser sikkerhedscertifikatfil
Bekræfter det uploadede certifikat og den uploadede nøgle.
Det uploadede SSL-certifikat og nøglen er blevet installeret. Genstart controlleren for at anvende.
226-
226 Handling fuldført. (2020-12-11 23:30:47)
1679 bytes sendt på 5,2e-05 sek. (32288,46 Kbytes/sek.)
ftp> bye
221-Slut. Du har uploadet 3 og downloadet 0 kbytes.
221 Log ud.
[grpadmin@hitle18 certs]$ ssh manage@100.85.239.3
Adgangskode:
DELL EMC ME4024
Systemnavn: NDC-ME4
Systemplacering: NDC
Version: GT280R008-01
# Genstart mc both
Under genstartsprocessen mister du kortvarigt kommunikationen med de specificerede Management Controller(s).
Vil du fortsætte? (j/n) y
Info: Genstarter den lokale MC (A)...
Succes: Kommando udført. - Begge pc'er blev genstartet. (2020-12-11 23:31:26)
# Aflivet
Forbindelse til 100.85.239.3 lukket.
.
. Det tager ca. 2 minutter, før du kan logge ind på systemet
igen. se certifikaterne
.
[grpadmin@hitle18 certifikater]$ ssh manage@100.85.239.3
Adgangskode:
DELL EMC ME4024
Systemnavn: NDC-ME4
Systemplacering: NDC
Version: GT280R008-01
# vis certifikater
Fejl: Kommandoen blev ikke genkendt. (2020-12-11 23:36:35)
# vis certifikat
Certifikatstatus
------------------
Controller: A
Certifikatstatus: Leveret af kunden
Tidspunkt oprettet: 2020-12-11 23:29:29
Certifikattekst: Certifikat:
Data:
Version: 1 (0x0)
Serienummer: 3580 (0xdfc)
Signaturalgoritme: sha1WithRSAEncryption
Udstederen: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Gyldigheden
Ikke før: 22. august 05:27:41 2012 GMT
Ikke efter: 21. august 05:27:41 2017 GMT
Emne: C=JP, ST=Tokyo, O=Frank4DD, CN=www.example.com
Emne Offentlige nøgleoplysninger:
Algoritme for offentlig nøgle: rsaEncryption
Offentlig RSA-tast: (2048 bit)
Modulus:
00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
f8:59
Eksponent: 65537 (0x10001)
Signaturalgoritme: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
f8:13
Certifikatstatus
------------------
Controller: B-certifikatstatus: Leveret af kunden
Tidspunkt oprettet: 2020-12-11 23:30:22
Certifikattekst: Certifikat:
Data:
Version: 1 (0x0)
Serienummer: 3580 (0xdfc)
Signaturalgoritme: sha1WithRSAEncryption
Udstederen: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Gyldigheden
Ikke før: 22. august 05:27:41 2012 GMT
Ikke efter: 21. august 05:27:41 2017 GMT
Emne: C=JP, ST=Tokyo, O=Frank4DD, CN=www.example.com
Emne Offentlige nøgleoplysninger:
Algoritme for offentlig nøgle: rsaEncryption
Offentlig RSA-tast: (2048 bit)
Modulus:
00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
f8:59
Eksponent: 65537 (0x10001)
Signaturalgoritme: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
f8:13
Succes: Kommando udført. (2020-12-11 23:36:41)
#