PowerVault ME4: Installere og fjerne tilpassede sertifikater

Installere/fjerne tilpassede sertifikater på ME4

Installere sertifikatet.
Vise sertifikatinformasjon.
Fjerne egendefinerte sertifikater.
Cli Only Example bruker Linux- og ME4 SSH-økt.
 

Installere sertifikatet.

Utfør følgende trinn for å installere et tredjeparts eller selvsignert sikkerhetssertifikat:

1. I PowerVault Manager klargjør du for bruk av FTP eller SFTP:

   1. Fastslå IP-adressene til nettverksporten til systemkontrollerne under ME4 System Settings Network (Systeminnstillinger-nettverk > ).

   2. Kontroller at FTP- eller SFTP-tjenesten er aktivert på systemet under ME4 System Settings > Services. Hvis du bruker SFTP, registrerer du hvilken port SFTP som er angitt til bruk.

3. Kontroller at brukeren du planlegger å bruke, har administrer rolletillatelser og tillatelser for FTP- eller SFTP-grensesnittet under ME4 System Settings Manage Users (Administrer brukere av systeminnstillinger > for ME4).

2. Sett sertifikatfilen og nøkkelfilen i en katalog som er tilgjengelig for FTP-klienten. Formatet på sertifikatet og nøkkelfilen må være PEM. Hvis du bruker DER-filer, kan du laste dem opp, men de kan ikke brukes når du starter administrasjonen på nytt på kontrollerne. Merk: ME4 støtter jokertkortsertifikater.

3. Åpne en ledetekst (Windows) eller et terminalvindu (UNIX), og gå til katalogen som inneholder sertifikatfilene. Du kan ikke bruke et brukergrensesnitt som Filezilla-klienten fordi put-linjen krever kommandoparametere etter filnavnet.

(Merk: Windows FTP kan ikke gjøre passiv FTP hvis brannmuren er aktivert. Det kan være mulig å logge på ME4-arrayet, men deretter feil med et porttilkoblingsproblem når du prøver å sende filer. Hvis du vil bruke Windows kommandolinje-FTP, må du deaktivere Windows-brannmuren før du starter.)

4. Skriv inn: sftp controller-network-address -P port or ftp controller-network-address. Du må laste opp filene til begge kontrollerne for at de skal kunne brukes på begge kontrollerne.

For eksempel: sftp 10.235.XXX.XXX -P 1022 eller ftp 10.X.0.X X.

Logg på som bruker med tillatelser for administrasjon av rolle og tillatelser for FTP- eller SFTP-grensesnitt. I disse eksemplene brukte jeg WinSCP FTP-kommandolinjeklienten, men hvis du deaktiverer Windows-brannmuren, kan du bruke Windows FTP-klienten. En Linux-klient kan også brukes.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
Ber om legitimasjon ...
Brukernavn: administrer
tilkobling til 100.85.XXX.X ...
Passord:
Tilkoblet start
av økten ...
Økten startet.
Aktiv økt: [1] 100.85.XXX.X
winscp>

5. Skriv inn: sett sertifikatfil-navn cert-fil der sertifikatfilnavn er navnet på sertifikatfilen for ditt spesifikke system. Du kan få en filfeil fordi katalogen sertifikatet legges i, er en skjult katalog som FTP-brukeren ikke har tillatelse til å endre.

winscp> sette 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 KB |    0,0 KB/s | binær | 100 %
winscp>

6. Skriv inn: sett nøkkelfilnavn cert-key-file der key-file-name er navnet på sikkerhetsnøkkelfilen for ditt spesifikke system.   

winscp> sette 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 KB |    0,0 KB/s | binær | 100 %
winscp>

7. Vær oppmerksom på at hvis du utfører en katalogoppføring på ARRAY FTP-nettstedet etter at du har lastet opp disse filene, vil du ikke se filene.  De er lagret i skjulte kataloger som FTP-brukeren ikke kan se på.

winscp> ls
D--------- 0 0 ..
Lrwxrwxrwx 0 0 0 12. des 2 13:19:33 2020 .banner ->
-rw-rw-rw- 0 0 10 0 desember 2 14:46:49 2020 0-rw-r
--r-- 0 0 0 8436 2. desember 13:19:33 2020 README
winscp>

8. Gjenta trinn 4, 5, 6 og 7 for den andre kontrolleren.

9. Start begge administrasjonskontrollerne på nytt for å få det nye sikkerhetssertifikatet til å tre i kraft. Etter at administrasjonskontrollerne har startet på nytt, skal du kunne vise sertifikatet via brukergrensesnittet som vist nedenfor eller via SSH-kommandoen «show certificate».

Vise sertifikatinformasjon.

Som standard genererer systemet et unikt SSL-sertifikat for hver kontroller. For den sterkeste sikkerheten kan du erstatte det standard systemgenererte sertifikatet med et sertifikat utstedt fra en klarert sertifikatmyndighet.

Panelet Certificate Information (Sertifikatinformasjon) viser informasjon om aktive SSL-sertifikater som er lagret på systemet for hver kontroller. Fanene A og B inneholder uformatert sertifikattekst for hver av de tilsvarende kontrollerne. Panelet viser også én av følgende statusverdier samt opprettelsesdatoen for hvert sertifikat:

• Kundens leverte indikerer at kontrolleren bruker et sertifikat som du har lastet opp.

• Systemgenerert – Indikerer at kontrolleren bruker et aktivt sertifikat og en aktiv nøkkel som ble opprettet av kontrolleren.

• Ukjent status – Indikerer at kontrollersertifikatet ikke kan leses. Dette skjer vanligvis når en kontroller starter på nytt, erstatningsprosessen for sertifikatet fortsatt pågår, eller du har valgt fanen for en partnerkontroller i et system med én kontroller.

Du kan bruke dine egne sertifikater ved å laste dem opp via FTP eller SFTP eller ved hjelp av innholdsparameteren for kommandoen create certificate CLI for å opprette sertifikater med ditt eget unike sertifikatinnhold. For at et nytt sertifikat skal tre i kraft, må du først starte administrasjonskontrolleren på nytt for det.

For å bekrefte at erstatningen av sertifikatet var vellykket, og at kontrolleren bruker sertifikatet du har gitt, må du kontrollere at sertifikatstatusen er levert av kunden, at opprettelsesdatoen er riktig, og at sertifikatinnholdet er forventet tekst. 

Vis sertifikatinformasjon:

1. I banneret klikker du på systempanelet og velger Show Certificate Information (Vis sertifikatinformasjon). Panelet Certificate Information (Sertifikatinformasjon) åpnes.

2. Når du er ferdig med å vise sertifikatinformasjonen, klikker du på Lukk.

Før du installerer et sertifikat, ser informasjonen ut som følger – systemgenerert:
 

Når du har installert ditt eget sertifikat, vil det identifiseres som levert av kunden:

Fjerne egendefinerte sertifikater.

Hvis du vil gjenopprette det systemgenererte sertifikatet og fjerne det egendefinerte sertifikatet fra begge kontrollerne, logger du på hver kontroller og kjører kommandoen:

# opprett sertifikatgjenoppretting

for å få sertifikatendringen til å tre i kraft, må du starte administrasjonskontrolleren på nytt på alle kontrollere du har utført kommandoen på. 

Cli Only Example bruker Linux- og ME4 SSH-økt.

1. Opprett sertifikatet, og sett PEM.cer og .key på Linux-maskinen. 

2. Fra en SSH-økt i Linux-boksen overfører du filene ved hjelp av FTP til arrayet, og åpner deretter en SSH-økt til arrayet for å starte begge kontrollerne på NYTT på ME4. Det tar omtrent to minutter etter at du har startet ME4-administrasjonskontrollerne på nytt før du kan logge på ME4 igjen og vise det nye sertifikatet. Merk: Én kontroller kan ta lengre tid å komme opp enn den andre, så til begge kontrollerne er helt oppe, kan du se én kontroller på et systemsertifikat og én på et kundesertifikat.

I eksemplet nedenfor er IP-ene for ME4-kontrolleren:

Sv:  100.85.XXX.X
B:  100.85.XXX.XX8

Du må laste opp sertifikat- og nøkkelfilen til begge kontrollerne ved hjelp av FTP, og deretter starte administrasjonskontrolleren på nytt på begge kontrollerne for at begge kontrollerne skal ha sertifikatet.

[grpadmin@hitle18 sert]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18 sert]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 sert]$ ftp 100.85.239.3
Koblet til 100.85.239.3 (100.85.239.3).
220-velkommen til Ren-FTPd.
220 – Du er brukernummer 1 av 5 tillatt.
220-Lokal tid er nå 23:29. Serverport: 21.220
– Dette er et privat system – ingen anonyme påloggingstilkoblinger
på 220-IPv6 er også velkomne på denne serveren.
220 Du vil bli frakoblet etter 15 minutter med inaktivitet.
Navn (100.85.239.3:grpadmin): manage
331 Brukeradministrer OK. Passord kreves
Passord:
230-OK. Gjeldende, begrensede katalog er /.
.
.
230 instruksjoner for innlasting av sikkerhetssertifikatfiler:
230–1. Sikkerhetssertifikatfilene består av et par filer.
230 – Du vil ha en sertifikatfil og en nøkkelfil.
230–2. Logg på med brukernavn og passord.
230–3. Skriv inn «put <certificate-file-name> cert-file»
230– der <sertifikatfilnavnet> er navnet på sertifikatfilen
230 – for ditt spesifikke system.
230–4. Skriv inn «put <key-file-name> cert-key-file»
230– der <key-file-name> er navnet på sikkerhetsnøkkelfilen for
230 – ditt spesifikke system.
230–5.  Start begge administrasjonskontrollerne på nytt for å få den nye sikkerheten
230- sertifikatet trer i kraft.
230–
230
Ekstern systemtype er UNIX.
Bruke binærmodus til å overføre filer.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem ekstern: cert-fil
227 Går i passiv modus (100 85 239 3 127 0)
150 godtatt datatilkobling
226-filoverføring fullført. Startoperasjon: (2020-12-10 17:40:12)
STATUS: Laste inn sikkerhetssertifikatfilen
226–
226 Operation Complete (Operasjonen er fullført). (2020-12-10 17:40:18)
1050 byte sendt i 9,4e-05 sekunder (11170,21 Kbyte/sek)
ftp> sette 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem ekstern: cert-key-file
227 Går i passiv modus (100 85 239 3 204 57)
150 godtatt datatilkobling
226-filoverføring fullført. Startoperasjon: (2020-12-10 17:40:37)
STATUS: Laste inn sikkerhetssertifikatfilen
Kontrollerer opplastet sertifikat og nøkkel.

Det opplastede SSL-sertifikatet og -nøkkelen er installert. Start kontrolleren på nytt for å ta i bruk.
226–
226 Operation Complete (Operasjonen er fullført). (2020-12-10 17:40:45)
1679 byte sendt i 8,5-05 sekunder (19752,94 Kbyte/sek)
ftp> ls
227 Går i passiv modus (100,85,239,3,189,193)
150 Godtattdatatilkobling-rw-rw-rw-1 0 brukere 0. des 10 17:400-rw-r--r-- 1 0 0 8436 des 20:39 README
226-alternativer:

-L
226 2 treff totalt
ftp> bye
221-farvel. Du lastet opp tre og lastet ned 0 kbyte.
221 utlogging.
[grpadmin@hitle18 sert]$ ftp 100.85.238.178
Koblet til 100.85.238.178 (100.85.238.178).
220-velkommen til Ren-FTPd.
220 – Du er brukernummer 1 av 5 tillatt.
220-Lokal tid er nå kl. 23.30. Serverport: 21.220
– Dette er et privat system – ingen anonyme påloggingstilkoblinger
på 220-IPv6 er også velkomne på denne serveren.
220 Du vil bli frakoblet etter 15 minutter med inaktivitet.
Navn (100.85.238.178:grpadmin): manage
331 Brukeradministrer OK. Passord kreves
Passord:
230-OK. Gjeldende, begrensede katalog er/
.
.
.
Ekstern systemtype er UNIX.
Bruke binærmodus til å overføre filer.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem ekstern: cert-fil
227 Går i passiv modus (100 85 238 178 126 144)
150 godtatt datatilkobling
226-filoverføring fullført. Startoperasjon: (2020-12-11 23:30:22)
STATUS: Laste inn sikkerhetssertifikatfilen
226–
226 Operation Complete (Operasjonen er fullført). (2020-12-11 23:30:28)
1050 byte sendt i 4,7e-05 sekunder (22340,42 Kbyte/sek)
ftp> sette 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem ekstern: cert-key-file
227 Går i passiv modus (100 85 238 178 200 227)
150 godtatt datatilkobling
226-filoverføring fullført. Startoperasjon: (2020-12-11 23:30:40)
STATUS: Laste inn sikkerhetssertifikatfilen
Kontrollerer opplastet sertifikat og nøkkel.

Det opplastede SSL-sertifikatet og -nøkkelen er installert. Start kontrolleren på nytt for å ta i bruk.
226–
226 Operation Complete (Operasjonen er fullført). (2020-12-11 23:30:47)
1679 byte sendt i 5,2e-05 sekunder (32288,46 Kbyte/sek)
ftp> bye
221-farvel. Du lastet opp tre og lastet ned 0 kbyte.
221 utlogging.
[grpadmin@hitle18 sert]$ ssh manage@100.85.239.3
Passord:

DELL EMC ME4024
Systemnavn: NDC-ME4
Systemplassering: NDC
Versjon: GT280R008-01
# Start mc på nytt begge
Under omstartsprosessen mister du kort kommunikasjonen med de angitte administrasjonskontrollerne.
Vil du fortsette? (y/n) y
Info: Starte den lokale MC-en (A) på nytt ...
Suksess: Kommandoen er utført. – Begge MC-ene ble startet på nytt. (2020-12-11 23:31:26)
# Avsnept
Tilkobling til 100.85.239.3 lukket.
.
.  Det tar ca. 2 minutter før du kan logge på matrisen igjen for å
.  se sertifikatene
.
[grpadmin@hitle18 sert]$ ssh manage@100.85.239.3
Passord:

DELL EMC ME4024
Systemnavn: NDC-ME4
Systemplassering: NDC
Versjon: GT280R008-01
# vis sertifikater
Feil: Kommandoen ble ikke gjenkjent. (2020-12-11 23:36:35)
# show certificate (Vis sertifikat)
Sertifikatstatus
------------------
Kontrolleren: A
Sertifikatstatus: Kundele følger med
Klokkeslett opprettet: 2020-12-11 23:29:29
Sertifikattekst: Sertifikat:
    Data:
        Version: 1 (0x0)
Serienummer: 3580 (0xdfc)
Signaturalgoritme: sha1WithRSAEncryption
Utsteder: C = JP, ST = Tokyo, L = Chuo-ekthet, O = Frank4DD, OU = WebCert-støtte, CN = Frank4DD Web CA / emailAddress = support@frank4dd.com
Gyldigheten
Ikke før: 22. august kl. 05.27.41. 2012 GMT
Ikke etter: 21. august 05.27.41. 2017 GMT
Emnet: C = JP, ST = Tokyo, O = Frank4DD, CN = www.example.com
Informasjon om subject public key:
            Fellesnøkkelalgoritme: rsaEncryption
RSA-fellesnøkkel: (2048-biters)
Modulus:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Eksponent: 65537 (0x10001)
Signaturalgoritme: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Sertifikatstatus
------------------
Kontrolleren: B-sertifikatstatus: Kundele følger med
Klokkeslett opprettet: 2020-12-11 23:30:22
Sertifikattekst: Sertifikat:
    Data:
        Version: 1 (0x0)
Serienummer: 3580 (0xdfc)
Signaturalgoritme: sha1WithRSAEncryption
Utsteder: C = JP, ST = Tokyo, L = Chuo-ekthet, O = Frank4DD, OU = WebCert-støtte, CN = Frank4DD Web CA / emailAddress = support@frank4dd.com
Gyldigheten
Ikke før: 22. august kl. 05.27.41. 2012 GMT
Ikke etter: 21. august 05.27.41. 2017 GMT
Emnet: C = JP, ST = Tokyo, O = Frank4DD, CN = www.example.com
Informasjon om subject public key:
            Fellesnøkkelalgoritme: rsaEncryption
RSA-fellesnøkkel: (2048-biters)
Modulus:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Eksponent: 65537 (0x10001)
Signaturalgoritme: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Suksess: Kommandoen er utført. (2020-12-11 23:36:41)
#