PowerVault ME4: Installieren und Entfernen von benutzerdefinierten Zertifikaten

Installieren/Entfernen benutzerdefinierter Zertifikate auf ME4

Installieren des Zertifikats.
Anzeigen von Zertifikatinformationen.
Entfernen benutzerdefinierter Zertifikate.
Cli Only Example using Linux and ME4 SSH session (Nur CLI-Beispiel mit Linux- und ME4-SSH-Sitzung).
 

Installieren des Zertifikats.

Führen Sie die folgenden Schritte aus, um ein Drittanbieter- oder selbstsigniertes Sicherheitszertifikat zu installieren:

1. Bereiten Sie im PowerVault Manager die Verwendung von FTP oder SFTP vor:

   1. Bestimmen Sie die Netzwerkport-IP-Adressen der System-Controller unter ME4 System Settings > Network.

   2. Überprüfen Sie, ob der FTP- oder SFTP-Dienst auf dem System unter me4 System Settings > Services aktiviert ist. Wenn Sie SFTP verwenden, noten Sie, welcher Port SFTP verwendet werden soll.

3. Überprüfen Sie, ob der Benutzer, den Sie verwenden möchten, über Rollenberechtigungen und FTP- oder SFTP-Schnittstellenberechtigungen unter ME4 System settings > Manage Users verfügt.

2. Legen Sie die Zertifikatsdatei und Schlüsseldatei in ein Verzeichnis, auf das der FTP-Client zugreifen kann. Das Format des Zertifikats und der Schlüsseldatei muss PEM sein. Wenn Sie DER-Dateien verwenden, können Sie sie hochladen, aber sie können nicht verwendet werden, wenn Sie die Verwaltung auf den Controllern neu starten. Hinweis: ME4 unterstützt Platzhalterzertifikate.

3. Öffnen Sie eine Eingabeaufforderung (Windows) oder ein Terminalfenster (UNIX) und navigieren Sie zu dem Verzeichnis, das die Zertifikatdateien enthält. Sie können keine Benutzeroberfläche wie den Filezilla-Client verwenden, da für die Put-Zeile Befehlsparameter nach dem Dateinamen erforderlich sind.

(Hinweis: Windows FTP kann kein passives FTP durchführen, wenn die Firewall aktiviert ist. Es kann sich möglicherweise beim ME4-Array anmelden, aber dann tritt beim Versuch, Dateien zu senden, ein Fehler mit einem Portverbindungsproblem auf. Wenn Sie die Windows-Befehlszeile FTP verwenden möchten, müssen Sie die Windows-Firewall vor dem Start deaktivieren.)

4. Geben Sie Folgendes ein: sftp controller-network-address -P port or ftp controller-network-address. Sie müssen die Dateien auf beide Controller hochladen, damit sie auf beiden Controllern verwendet werden können.

Beispiel: sftp 10.235.XXX.XXX -P 1022 oder ftp 10.x.0.X X.

Melden Sie sich als Benutzer mit Manage-Rollenberechtigungen und FTP- oder SFTP-Schnittstellenberechtigungen an. In diesen Beispielen habe ich den WinSCP FTP-Befehlszeilenclient verwendet, aber wenn Sie die Windows-Firewall deaktivieren, können Sie den Windows FTP-Client verwenden. Ein Linux-Client kann ebenfalls verwendet werden.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
Prompting for credentials...
Benutzername: Verbinden mit 100.85.XXX.X verwalten
...
Kennwort:
Verbunden
Sitzung wird gestartet...
Sitzung gestartet.
Aktive Sitzung: [1] 100.85.XXX.X
winscp>

5. Geben Sie certificate-file-name cert-file ein, wobei certificate file name der Name der Zertifikatdatei für Ihr spezifisches System ist. Möglicherweise wird ein Dateifehler angezeigt, da das Verzeichnis, in dem das Zertifikat abgelegt wird, ein verstecktes Verzeichnis ist, in dem der FTP-Benutzer keine Berechtigungen zum Ändern hat.

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 KB |    0,0 KB/s | Binärdatei | 100 %
winscp>

6. Geben Sie Key-File-Name cert-key-file ein, wobei key-file-name der Name der Sicherheitsschlüsseldatei für Ihr spezifisches System ist.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 KB |    0,0 KB/s | Binärdatei | 100 %
winscp>

7. Hinweis: Wenn Sie nach dem Hochladen dieser Dateien eine Verzeichnisauflistung auf der Array-FTP-Site durchführen, werden die Dateien nicht angezeigt.  Sie werden in versteckten Verzeichnissen gespeichert, die der FTP-Benutzer nicht sehen kann.

winscp> ls
D--------- 0 0.
Lrwxrwxrwx 0 0 0 12. Dezember 2 13:19:33 2020 .banner ->
-rw-rw-rw- 0 10 0 Dec 2 14:46:49 2020 0-rw-r
--r-- 0 0 0 8436 2 Dezember 13:19:33 2020 README
winscp>

8. Wiederholen Sie die Schritte 4, 5, 6 und 7 für den anderen Controller.

9. Starten Sie beide Management-Controller neu, damit das neue Sicherheitszertifikat wirksam wird. Nachdem die Management-Controller neu gestartet wurden, sollten Sie in der Lage sein, das Zertifikat über die Benutzeroberfläche anzuzeigen, wie unten gezeigt, oder über den SSH-Befehl "show certificate".

Anzeigen von Zertifikatinformationen.

Standardmäßig erzeugt das System ein eindeutiges SSL-Zertifikat für jeden Controller. Für höchste Sicherheit können Sie das vom System generierte Standardzertifikat durch ein Zertifikat ersetzen, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Im Bereich "Zertifikatinformationen" werden Informationen zu den aktiven SSL-Zertifikaten angezeigt, die auf dem System für jeden Controller gespeichert sind. Die Registerkarten A und B enthalten unformatierten Zertifikattext für jeden der entsprechenden Controller. Der Bereich zeigt außerdem einen der folgenden Statuswerte sowie das Erstellungsdatum für jedes Zertifikat an:

• Vom Kunden bereitgestellt – Zeigt an, dass der Controller ein Zertifikat verwendet, das Sie hochgeladen haben.

• System generated – Zeigt an, dass der Controller ein aktives Zertifikat und einen Schlüssel verwendet, die vom Controller erstellt wurden.

• Unbekannter Status – Zeigt an, dass das Controller-Zertifikat nicht gelesen werden kann. Dies geschieht in den meisten Fällen, wenn ein Controller neu gestartet wird, der Zertifikataustauschprozess noch in Bearbeitung ist oder Sie die Registerkarte für einen Partner-Controller in einem System mit einem einzigen Controller ausgewählt haben.

Sie können Ihre eigenen Zertifikate verwenden, indem Sie sie über FTP oder SFTP hochladen oder indem Sie den Inhaltsparameter des CLI-Befehls zum Erstellen von Zertifikaten verwenden, um Zertifikate mit Ihrem eigenen eindeutigen Zertifikatinhalt zu erstellen. Damit ein neues Zertifikat wirksam wird, müssen Sie zunächst den Management-Controller neu starten.

Um zu überprüfen, ob das Ersetzen des Zertifikats erfolgreich war und der Controller das von Ihnen bereitgestellte Zertifikat verwendet, stellen Sie sicher, dass der Zertifikatstatus vom Kunden bereitgestellt wurde, das Erstellungsdatum korrekt ist und der Zertifikatinhalt der erwartete Text ist. 

Anzeigen von Zertifikatinformationen:

1. Klicken Sie im Banner auf den Systembereich und wählen Sie Zertifikatinformationen anzeigen aus. Der Bereich Zertifikatinformationen wird geöffnet.

2. Nachdem Sie die Anzeige der Zertifikatinformationen abgeschlossen haben, klicken Sie auf Schließen.

Vor der Installation eines Zertifikats sehen die Informationen wie folgt aus: System Generated:
 

Nach der Installation Ihres eigenen Zertifikats wird es als vom Kunden bereitgestellt identifiziert:

Entfernen benutzerdefinierter Zertifikate.

Um das vom System erzeugte Zertifikat wiederherzustellen und das benutzerdefinierte Zertifikat von beiden Controllern zu entfernen, melden Sie sich bei jedem Controller an und führen Sie den befehl:

# create certificate restore

aus. Damit die Zertifikatsänderung wirksam wird, müssen Sie den Management Controller auf allen Controllern neu starten, auf denen Sie den Befehl ausgeführt haben. 

Cli Only Example using Linux and ME4 SSH session (Nur CLI-Beispiel mit Linux- und ME4-SSH-Sitzung).

1. Erstellen Sie das Zertifikat und legen Sie PEM.cer und .key auf Ihren Linux-Rechner. 

2. Übertragen Sie von einer SSH-Sitzung auf dem Linux-Feld die Dateien über FTP auf das Array und öffnen Sie dann eine SSH-Sitzung für das Array, um beide Controller auf dem ME4 neu zu starten. Nach dem Neustart der ME4-Management-Controller dauert es etwa zwei Minuten, bis Sie sich wieder beim ME4 anmelden und das neue Zertifikat anzeigen können. Hinweis: Ein Controller kann länger dauern als der andere. Bis beide Controller vollständig betriebsbereit sind, sehen Sie möglicherweise einen Controller auf einem Systemzertifikat und einen auf einem Kundenzertifikat.

Im folgenden Beispiel sind die ME4-Controller-IPs:

A:  100.85.XXX.X
B:  100.85.XXX.XX8

Sie müssen die Zertifikat- und Schlüsseldatei über FTP auf beide Controller hochladen und dann den Management-Controller auf beiden Controllern neu starten, damit beide Controller über das Zertifikat verfügen.

[grpadmin@hitle18-Zertifikate]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18-Zertifikate]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18-Zertifikate]$ ftp 100.85.239.3
Verbunden mit 100.85.239.3 (100.85.239.3).
220– Willkommen bei Pure-FTPd.
220– Sie sind die Nutzernummer 1 von 5 zulässig.
220-Ortszeit ist jetzt 23:29. Serverport: 21.220
- Dies ist ein privates System– Keine anonyme Anmeldung
220-IPv6-Verbindungen sind auch auf diesem Server willkommen.
220 Sie werden nach 15 Minuten Inaktivität getrennt.
Name (100.85.239.3:grpadmin): managen
331 Benutzer verwalten OK. Passwort erforderlich
Passwort:
230 -OK. Das aktuell eingeschränkte Verzeichnis ist /.
.
.
230- Anweisungen zum Laden von Sicherheitszertifikatdateien:
230 bis 1. Die Sicherheitszertifikatdateien bestehen aus einem Paar von Dateien.
230- Sie haben eine Zertifikatsdatei und eine Schlüsseldatei.
230 bis 2. Melden Sie sich mit einem Benutzernamen und Passwort an.
230 bis 3. Geben Sie "put <certificate-file-name> cert-file'230
" ein, wobei <certificate-file-name> der Name der Zertifikatdatei
230 für Ihr spezifisches System ist.
230 bis 4. Geben Sie "put <key-file-name> cert-key-file"
230 ein, wobei <key-file-name> der Name der Sicherheitsschlüsseldatei für
230 ist – Ihr spezifisches System.
230 bis 5.  Starten Sie beide Management-Controller neu, um die neue Sicherheit zu erhalten
.230 - Zertifikat wird wirksam.
230–
230
Der Remotesystemtyp ist UNIX.
Verwenden des Binärmodus zum Übertragen von Dateien.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 In den passiven Modus wechseln (100, 85, 239, 3, 127, 0)
150 Akzeptierte Datenverbindung
226-Dateiübertragung abgeschlossen. Startvorgang: (12.12.2020, 17:40:12)
STATUS: Laden der Sicherheitszertifikatdatei
226–
226 Vorgang abgeschlossen. (12.12.2020, 17:40:18)
1.050 Byte, gesendet in 9,4e-05 Sek. (1.1170,21 KB/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 In den passiven Modus wechseln (100, 85, 239, 3, 204, 57)
150 Akzeptierte Datenverbindung
226-Dateiübertragung abgeschlossen. Startvorgang: (12.12.2020, 17:40:37)
STATUS: Laden der Sicherheitszertifikatdatei
Überprüfen des hochgeladenen Zertifikats und Schlüssels.

Das hochgeladene SSL-Zertifikat und der hochgeladene Schlüssel wurden installiert. Starten Sie den Controller neu, um den Controller anzuwenden.
226–
226 Vorgang abgeschlossen. (12.12.2020 17:40:45)
1.679 Byte, gesendet in 8,5e-05 Sek. (1.9752,94 KB/s)
ftp> ls
227 Entering Passive Mode (100,85,239,3,189,193)
150 Akzeptierte Datenverbindung-rw-rw-rw-1
0 Users 0 Dec 10 17:400-rw-r--r-- 1 0 0 8436 Dec 2 20:39 README
226-Options:
-L
226 2 Übereinstimmungen insgesamt
ftp> bye
221–Auf Wiedersehen. Sie haben 3 kb hochgeladen und 0 KB heruntergeladen.
221 Abmelden.
[grpadmin@hitle18-Zertifikate]$ ftp 100.85.238.178
Verbunden mit 100.85.238.178 (100.85.238.178).
220– Willkommen bei Pure-FTPd.
220– Sie sind die Nutzernummer 1 von 5 zulässig.
220-Ortszeit ist jetzt 23:30. Serverport: 21.220
- Dies ist ein privates System– Keine anonyme Anmeldung
220-IPv6-Verbindungen sind auch auf diesem Server willkommen.
220 Sie werden nach 15 Minuten Inaktivität getrennt.
Name (100.85.238.178:grpadmin): managen
331 Benutzer verwalten OK. Passwort erforderlich
Passwort:
230 -OK. Das aktuell eingeschränkte Verzeichnis ist /
.
.
.
Der Remotesystemtyp ist UNIX.
Verwenden des Binärmodus zum Übertragen von Dateien.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 In den passiven Modus wechseln (100, 85, 238, 178, 126, 144)
150 Akzeptierte Datenverbindung
226-Dateiübertragung abgeschlossen. Startvorgang: (2020-12-11 23:30:22)
STATUS: Laden der Sicherheitszertifikatdatei
226–
226 Vorgang abgeschlossen. (2020-12-11 23:30:28)
1.050 Byte in 4,7e-05 Sek. (22.340,42 KB/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 In den passiven Modus wechseln (100, 85, 238, 178, 200, 227)
150 Akzeptierte Datenverbindung
226-Dateiübertragung abgeschlossen. Startvorgang: (2020-12-11 23:30:40)
STATUS: Laden der Sicherheitszertifikatdatei
Überprüfen des hochgeladenen Zertifikats und Schlüssels.

Das hochgeladene SSL-Zertifikat und der hochgeladene Schlüssel wurden installiert. Starten Sie den Controller neu, um den Controller anzuwenden.
226–
226 Vorgang abgeschlossen. (2020-12-11 23:30:47)
1.679 Byte, gesendet in 5,2e-05 Sek. (3.2288,46 KB/s)
ftp> bye
221–Auf Wiedersehen. Sie haben 3 kb hochgeladen und 0 KB heruntergeladen.
221 Abmelden.
[grpadmin@hitle18-Zertifikate]$ ssh manage@100.85.239.3
Passwort:

Dell EMC ME4024
Systemname: NDC-ME4
Systemstandort: NDC
Version: GT280R008-01
# mc beide
neu startenWährend des Neustarts verlieren Sie kurz die Kommunikation mit den angegebenen Management-Controllern.
Möchten Sie fortfahren? (j/n) y
Informationen: Neustarten des lokalen MC (A)...
Erfolg: Command completed successfully. Beide MCs wurden neu gestartet. (2020-12-11 23:31:26)
Anzahl deaktiviert
Verbindung zu 100.85.239.3 geschlossen.
.
.  Es dauert etwa 2 Minuten, bis Sie sich wieder beim Array anmelden können.
.  sehen Sie sich die Zertifikate
an..
[grpadmin@hitle18-Zertifikate]$ ssh manage@100.85.239.3
Passwort:

Dell EMC ME4024
Systemname: NDC-ME4
Systemstandort: NDC
Version: GT280R008-01
# Zertifikate
anzeigenFehler: Der Befehl wurde nicht erkannt. (2020-12-11 23:36:35)
# Zertifikat
anzeigenZertifikatstatus
------------------
Controller: Eine
Zertifikatstatus: Vom Kunden bereitgestellt
Erstellungszeit: 11.12.2020 23:29:29
Zertifikattext: Zertifikat:
    Data:
        Version: 1 (0x0)
Seriennummer: 3580 (0xdfc)
Signaturalgorithmus: sha1WithRSAEncryption
Emittenten: C=JP, ST=Tokio, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Gültigkeit
Nicht vorher: 22. August 2012, 05:27:41 UHR GMT
Nicht nach: 21. August 2017, 05:27:41 Uhr GMT
Betreff: C=JP, ST=Tokio, O=Frank4DD, CN=www.example.com
Informationen zum öffentlichen Schlüssel für Betreff:
            Öffentlicher Schlüsselalgorithmus: rsaEncryption
ÖFFENTLICHER RSA-Schlüssel: (2048 Bit)
Modul:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59 Uhr
Exponent: 65537 (0x10001)
Signaturalgorithmus: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13 Uhr


Zertifikatstatus
------------------
Controller: B Zertifikatstatus: Vom Kunden bereitgestellt
Erstellungszeit: 2020-12-11 23:30:22
Zertifikattext: Zertifikat:
    Data:
        Version: 1 (0x0)
Seriennummer: 3580 (0xdfc)
Signaturalgorithmus: sha1WithRSAEncryption
Emittenten: C=JP, ST=Tokio, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Gültigkeit
Nicht vorher: 22. August 2012, 05:27:41 UHR GMT
Nicht nach: 21. August 2017, 05:27:41 Uhr GMT
Betreff: C=JP, ST=Tokio, O=Frank4DD, CN=www.example.com
Informationen zum öffentlichen Schlüssel für Betreff:
            Öffentlicher Schlüsselalgorithmus: rsaEncryption
ÖFFENTLICHER RSA-Schlüssel: (2048 Bit)
Modul:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59 Uhr
Exponent: 65537 (0x10001)
Signaturalgorithmus: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13 Uhr


Erfolg: Command completed successfully. (2020-12-11 23:36:41)
#