PowerVault ME4: Instalando e removendo certificados personalizados

Instalando/removendo certificados personalizados no ME4

Instalando o certificado.
Visualizando informações do certificado.
Removendo certificados personalizados.
Exemplo somente de CLI usando a sessão SSH do Linux e ME4.
 

Instalando o certificado.

Execute as seguintes etapas para instalar um certificado de segurança autoassinado ou de terceiros:

1. No PowerVault Manager, prepare-se para usar FTP ou SFTP:

   1. Determine os endereços IP da porta de rede dos controladores do sistema em System Settings > Network (Rede de configurações do sistema ME4).

   2. Verifique se o serviço FTP ou SFTP está habilitado no sistema nos Serviços de configurações do > sistema ME4. Se estiver usando SFTP, registre qual porta SFTP está definida para usar.

3. Verifique se o usuário que você planeja usar tem permissões de função de gerenciamento e permissões de interface FTP ou SFTP em ME4 System Settings > Manage Users.

2. Coloque seu arquivo de certificado e arquivo de chave em um diretório acessível ao client FTP. O formato do certificado e do arquivo de chave deve ser PEM. Se você usar arquivos DER, poderá fazer upload deles, mas eles não poderão ser usados quando você reiniciar o gerenciamento nos controladores. Nota: O ME4 é compatível com certificados curinga.

3. Abra um prompt de comando (Windows) ou uma janela de terminal (UNIX) e vá para o diretório que contém os arquivos de certificado. Não é possível usar uma interface do usuário como o client do Filezilla porque a linha de colocação exige parâmetros de comando após o nome do arquivo.

(Nota: O FTP do Windows não poderá executar o FTP passivo se o firewall estiver ativado. Ele pode ser capaz de fazer log-in no array ME4, mas, em seguida, ocorre um erro com um problema de conexão de porta ao tentar enviar arquivos. Se você quiser usar o FTP da linha de comando do Windows, deverá desativar o firewall do Windows antes de iniciar.)

4. Digite: sftp controller-network-address -P port ou ftp controller-network-address. Você deve carregar os arquivos em ambos os controladores para que eles sejam usados em ambos os controladores.

Por exemplo: sftp 10.235.XXX.XXX -P 1022 ou ftp 10.X.0.X X.

Faça log-in como um usuário com permissões de função de gerenciamento e permissões de interface FTP ou SFTP. Nesses exemplos, eu utilizei o client da linha de comando FTP do WinSCP, mas se você desativar o firewall do Windows, poderá usar o client FTP do Windows. Um client Linux também pode ser usado.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
Solicitando credenciais...
Nome de usuário: manage
Connecting to 100.85.XXX.X...
Senha:
Conectado
Iniciando a sessão...
Sessão iniciada.
Sessão ativa: [1] 100.85.XXX.X
winscp>

5. Digite: put certificate-file-name cert-file, em que certificate file name é o nome do arquivo de certificado para seu sistema específico. Você pode receber um erro de arquivo porque o diretório em que o certificado é colocado é um diretório oculto no qual o usuário FTP não tem permissões para modificar.

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 KB |    0,0 KB/s | binário | 100%
winscp>

6. Digite: put key-file-name cert-key-file, em que key-file-name é o nome do arquivo da chave de segurança para seu sistema específico.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 KB |    0,0 KB/s | binário | 100%
winscp>

7. Observe que, se você fizer uma lista de diretórios no site FTP do array após o upload desses arquivos, não verá os arquivos.  Eles são armazenados em diretórios ocultos que o usuário de FTP não pode analisar.

winscp> ls
D--------- 0 0..
Lrwxrwxrwx 0 0 0 12 de dezembro 2 13:19:33 2020 .banner ->
-rw-rw-rw- 0 0 10 0 dezembro 2 14:46:49 2020 0-rw-r
--r-- 0 0 0 8436 Dez 2 13:19:33 2020 README
winscp>

8. Repita as etapas 4, 5, 6 e 7 para o outro controlador.

9. Reinicie as duas controladoras de gerenciamento para que o novo certificado de segurança entre em vigor. Depois que os controladores de gerenciamento tiverem reiniciado, você deverá ser capaz de visualizar o certificado por meio da interface do usuário, conforme mostrado abaixo ou por meio do comando SSH "show certificate".

Visualizando informações do certificado.

Por padrão, o sistema gera um certificado SSL exclusivo para cada controladora. Para a segurança mais forte, você pode substituir o certificado padrão gerado pelo sistema por um certificado emitido de uma autoridade de certificação confiável.

O painel Certificate Information mostra informações para os certificados SSL ativos que são armazenados no sistema para cada controlador. As guias A e B contêm texto de certificado não formatado para cada um dos controladores correspondentes. O painel também mostra um dos seguintes valores de status, bem como a data de criação de cada certificado:

• Fornecido pelo cliente - Indica que o controlador está usando um certificado que você carregou.

• System generated — indica que a controladora está usando um certificado ativo e uma chave que foram criados pelo controlador.

• Status desconhecido - Indica que o certificado do controlador não pode ser lido. Isso ocorre com mais frequência quando um controlador está reiniciando, o processo de substituição de certificado ainda está em andamento ou você selecionou a guia para um controlador parceiro em um sistema de controlador único.

Você pode usar seus próprios certificados fazendo upload deles por meio de FTP ou SFTP ou usando o parâmetro de conteúdo do comando da CLI de criação de certificados para criar certificados com seu próprio conteúdo exclusivo de certificado. Para que um novo certificado entre em vigor, você deve primeiro reiniciar o controlador de gerenciamento para ele.

Para verificar se a substituição do certificado foi bem-sucedida e se a controladora está usando o certificado que você forneceu, verifique se o status do certificado é fornecido pelo cliente, se a data de criação está correta e se o conteúdo do certificado é o texto esperado. 

Exibir informações do certificado:

1. No banner, clique no painel do sistema e selecione Mostrar informações do certificado. O painel Certificate Information é aberto.

2. Depois de concluir a visualização das informações do certificado, clique em Fechar.

Antes de instalar um certificado, as informações são exibidas da seguinte forma : Gerado pelo sistema:
 

Depois de instalar seu próprio certificado, ele identificará como Fornecido pelo Cliente:

Removendo certificados personalizados.

Para restaurar o certificado gerado pelo sistema e remover o certificado personalizado de ambas as controladoras, faça log-in em cada controlador e execute o comando:

# create certificate restore

Para fazer com que a alteração do certificado entre em vigor, você deve reiniciar o Controlador de gerenciamento em todas as controladoras em que você fez o comando. 

Exemplo somente de CLI usando a sessão SSH do Linux e ME4.

1. Crie o certificado e coloque o PEM.cer e o .key em sua máquina Linux. 

2. Em uma sessão SSH na caixa Linux, transfira os arquivos usando FTP para o array e, em seguida, abra uma sessão SSH para o array para reiniciar os dois controladores no ME4. Leva cerca de dois minutos após reiniciar os controladores de gerenciamento ME4 antes que você consiga fazer log-in novamente no ME4 e mostrar o novo certificado. Nota: Um controlador pode levar mais tempo para ser ativado do que o outro, portanto, até que ambos os controladores estejam totalmente ativados, você pode ver um controlador em um certificado do sistema e um em um certificado do cliente.

No exemplo abaixo, os IPs do controlador ME4 são:

R:  100.85.XXX.X
B:  100.85.XXX.XX8

Você deve carregar o certificado e o arquivo de chave em ambas as controladoras usando FTP e, em seguida, reiniciar o controlador de gerenciamento em ambos os controladores para que ambos os controladores tenham o certificado.

[grpadmin@hitle18 certificados]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18 certificados]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certificados]$ ftp 100.85.239.3
Conectado à versão 100.85.239.3 (100.85.239.3).
220- Bem-vindo ao Pure-FTPd.
220 - Você é o usuário número 1 de 5 permitido.
A hora de 220-Local agora é 23:29. Porta do servidor: 21.220
- Este é um sistema privado -Nenhuma conexãoanônima de login 220-IPv6 também é bem-vindo neste servidor.

220 Você será desconectado após 15 minutos de inatividade.
Nome (100.85.239.3:grpadmin): gerenciar
331 O usuário gerencia OK. Senha necessária
Senha:
230- OK. O diretório restrito atual é /.
.
.
230- Instruções para carregar arquivos de certificado de segurança:
230 a 1. Os arquivos de certificado de segurança consistirão em um par de arquivos.
230 - Você terá um arquivo de certificado e um arquivo de chave.
230 a 2. Faça log-in com um nome de usuário e uma senha.
230 a 3. Digite "put <certificate-file-name> cert-file"
230, <em que certificate-file-name>
é o nome do arquivode certificado 230 para seu sistema específico.
230 a 4. Digite "put <key-file-name> cert-key-file"
230, <em que key-file-name>
é o nome do arquivo da chave de segurançado 230, seu sistema específico.
230 a 5.  Reinicie as duas controladoras de gerenciamento para ter a nova segurança
230 - o certificado entra em vigor.
230-
230
O tipo de sistema remoto é UNIX.
Usando o modo binário para transferir arquivos.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remoto: cert-file
227 Entrando no modo passivo (100,85.239,3.127,0)
150 Conexão de dados aceita
226 - Transferência de arquivos concluída. Operação inicial: (12/12/2010 17:40:12)
STATUS: Carregando o arquivo de certificado de segurança
226-
226 Operação concluída. (12/12/2010 17:40:18)
1050 bytes enviados em 9,4e-05 segundos (11170,21 Kbytes/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remoto: cert-key-file
227 Entrando no modo passivo (100,85.239,3.204,57)
150 Conexão de dados aceita
226 - Transferência de arquivos concluída. Operação inicial: (12/12/2010 17:40:37)
STATUS: Carregando o arquivo de certificado de segurança
Verificando o certificado e a chave carregados.

O certificado SSL carregado e a chave foram instalados. Reinicialize o controlador para aplicar.
226-
226 Operação concluída. (12/12/2010 17:40:45)
1679 bytes enviados em 8,5e-05 segundos (19752,94 Kbytes/s)
ftp> ls
227 entrando no modo passivo (100,85,239,3.189,193)
150 Conexão
de dados aceita-rw-rw-rw-1 0 users 0 Dez 10 17:400-rw-r--r-- 1 0 0 8436 Dez 2 20:39 README
226-Opções
: -L
226 2 correspondências no total
ftp>
221- Adeus. Você carregou 3 e baixou 0 kbytes.
221 Faça log-out.
[grpadmin@hitle18 certificados]$ ftp 100.85.238.178
Conectado a 100.85.238.178 (100.85.238.178).
220- Bem-vindo ao Pure-FTPd.
220 - Você é o usuário número 1 de 5 permitido.
A hora de 220-Local agora é 23:30. Porta do servidor: 21.220
- Este é um sistema privado -Nenhuma conexãoanônima de login 220-IPv6 também é bem-vindo neste servidor.

220 Você será desconectado após 15 minutos de inatividade.
Nome (100.85.238.178:grpadmin): gerenciar
331 O usuário gerencia OK. Senha necessária
Senha:
230- OK. O diretório restrito atual é /
.
.
.
O tipo de sistema remoto é UNIX.
Usando o modo binário para transferir arquivos.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remoto: cert-file
227 Entrando no modo passivo (100,85.238.178.126.144)
150 Conexão de dados aceita
226 - Transferência de arquivos concluída. Operação inicial: (2020-12-11 23:30:22)
STATUS: Carregando o arquivo de certificado de segurança
226-
226 Operação concluída. (2020-12-11 23:30:28)
1050 bytes enviados em 4,7e-05 segundos (22340,42 Kbytes/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remoto: cert-key-file
227 Entrando no modo passivo (100,85.238.178.200.227)
150 Conexão de dados aceita
226 - Transferência de arquivos concluída. Operação inicial: (2020-12-11 23:30:40)
STATUS: Carregando o arquivo de certificado de segurança
Verificando o certificado e a chave carregados.

O certificado SSL carregado e a chave foram instalados. Reinicialize o controlador para aplicar.
226-
226 Operação concluída. (2020-12-11 23:30:47)
1679 bytes enviados em 5,2e-05 segundos (32288,46 Kbytes/s)
ftp>
221- Adeus. Você carregou 3 e baixou 0 kbytes.
221 Faça log-out.
[grpadmin@hitle18 certificados]$ ssh manage@100.85.239.3
Senha:

DELL EMC ME4024
Nome do sistema: NDC-ME4
Localização do sistema: NDC
Versão: GT280R008-01
# reiniciar mc ambos
Durante o processo de reinicialização, você perderá brevemente a comunicação com os controladores de gerenciamento especificados.
Você deseja continuar? (y/n) y
Informação: Reiniciando o MC local (A)...
Sucesso: Command completed successfully. - Ambos os MCs foram reiniciados. (2020-12-11 23:31:26)
Nº eliminado
Conexão com 100.85.239.3 fechada.
.
.  Levará cerca de 2 minutos para que você possa fazer log-in novamente no array para
.  consulte os certificados
.
[grpadmin@hitle18 certificados]$ ssh manage@100.85.239.3
Senha:

DELL EMC ME4024
Nome do sistema: NDC-ME4
Localização do sistema: NDC
Versão: GT280R008-01
# mostrar certificados
Erro: O comando não foi reconhecido. (2020-12-11 23:36:35)
# mostrar certificado
Status do certificado
------------------
Controlador: Um
Status do certificado: Fornecido pelo cliente
Hora de criação: 2020-12-11 23:29:29
Texto do certificado: Certificado:
    Dados:
        Version: 1 (0x0)
Número de série: 3580 (0xdfc)
Algoritmo de assinatura: sha1WithRSAEncryption
Emissor: C=JP, ST=Tóquio, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Validade
Não antes: 22 de agosto 05:27:41 2012 GMT
Não depois: 21 de agosto 05:27:41 2017 GMT
Assunto: C=JP, ST=Tóquio, O=Frank4DD, CN=www.example.com
Informações da chave pública do assunto:
            Algoritmo de chave pública: rsaEncryption
Chave pública da RSA: (2048 bits)
Módulo:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Expoente: 65537 (0x10001)
Algoritmo de assinatura: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Status do certificado
------------------
Controlador: B Status do certificado: Fornecido pelo cliente
Hora de criação: 2020-12-11 23:30:22
Texto do certificado: Certificado:
    Dados:
        Version: 1 (0x0)
Número de série: 3580 (0xdfc)
Algoritmo de assinatura: sha1WithRSAEncryption
Emissor: C=JP, ST=Tóquio, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Validade
Não antes: 22 de agosto 05:27:41 2012 GMT
Não depois: 21 de agosto 05:27:41 2017 GMT
Assunto: C=JP, ST=Tóquio, O=Frank4DD, CN=www.example.com
Informações da chave pública do assunto:
            Algoritmo de chave pública: rsaEncryption
Chave pública da RSA: (2048 bits)
Módulo:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Expoente: 65537 (0x10001)
Algoritmo de assinatura: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Sucesso: Command completed successfully. (2020-12-11 23:36:41)
#