PowerVault ME4: Instalace a odebrání vlastních certifikátů

Instalace/odebrání vlastních certifikátů v systému ME4

Instalace certifikátu.
Zobrazení informací o certifikátu.
Odebrání vlastních certifikátů.
Pouze příklad cli při použití relace SSH systému Linux a ME4.
 

Instalace certifikátu.

Chcete-li nainstalovat bezpečnostní certifikát třetí strany nebo certifikát podepsaný držitelem, postupujte následovně:

1. V nástroji PowerVault Manager se připravte na použití protokolu FTP nebo PROTOKOLU SFTP:

   1. V části ME4 System Settings > Network určete IP adresy síťových portů systémových řadičů.

   2. Ověřte, zda je v systému v části Služby nastavení > systému ME4 povolena služba FTP nebo SFTP. Pokud používáte protokol SFTP, zaznamenejte, který port je nastaven pro použití.

3. Ověřte, že uživatel, kterého plánujete používat, má oprávnění ke správě rolí a oprávnění rozhraní FTP nebo SFTP v části ME4 System Settings > Manage Users.

2. Vložte soubor certifikátu a soubor klíče do adresáře, který je přístupný klientovi FTP. Formát certifikátu a souboru klíče musí být PEM. Pokud použijete soubory DER, můžete je nahrát, ale nelze je použít při restartování správy řadičů. Poznámka: Me4 podporuje certifikáty zástupných znaků.

3. Otevřete příkazový řádek (Windows) nebo okno terminálu (UNIX) a přejděte do adresáře, který obsahuje soubory certifikátu. Nelze použít uživatelské rozhraní, jako je klient Filezilla, protože řádek put vyžaduje po názvu souboru parametry příkazu.

(Poznámka: Pokud je brána firewall povolena, protokol FTP systému Windows nemůže provádět pasivní protokol FTP. Může být možné se přihlásit do pole ME4, ale při pokusu o odeslání souborů dojde k chybě při připojení portu. Chcete-li použít protokol FTP příkazového řádku systému Windows, je nutné před spuštěním zakázat bránu Windows Firewall.)

4. Zadejte: sftp controller-network-address -P port or ftp controller-network-address. Aby se soubory použily na obou řadičích, je nutné je nahrát na oba řadiče.

Například sftp 10.235.XXX.XXX -P 1022 nebo ftp 10.X.0.X X.

Přihlaste se jako uživatel s oprávněními ke správě rolí a oprávněním rozhraní FTP nebo SFTP. V těchto příkladech jsem použil klienta příkazového řádku WinSCP FTP, ale pokud zakážete bránu firewall systému Windows, můžete použít klienta FTP systému Windows. Lze také použít klienta Linux.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
výzva k zadání přihlašovacích údajů...
Uživatelské jméno: manage
Connecting to 100.85.XXX.X...
Password:Connected Starting the session... (Heslo:
Připojeno
při spouštění relace...
Relace byla spuštěna.
Aktivní relace: [1] 100.85.XXX.X
winscp>

5. Zadejte: zadejte název certifikátu souboru cert-file , kde název souboru certifikátu je název souboru certifikátu pro váš konkrétní systém. Může se zobrazit chyba souboru, protože adresář, do kterého je certifikát vložen, je skrytý adresář, který uživatel FTP nemá oprávnění k úpravě.

winscp> uveďte 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 kB |    0,0 kB/s | binární kód | 100%
winscp>

6. Zadejte: zadejte key-file-name cert-key-file, kde key-file-name je název souboru bezpečnostního klíče pro váš konkrétní systém.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 kB |    0,0 kB/s | binární kód | 100%
winscp>

7. Poznámka: Pokud po nahrání těchto souborů vytvoříte adresář s výpisem na serveru FTP pole, soubory se nezobrazí.  Jsou uloženy ve skrytých adresářích, na které se uživatel FTP nemůže podívat.

winscp> ls
D--------- 0 0 ..
Lrwxrwxrwxrwx 0 0 0 12. prosince 2 13:19:33 2020 .banner ->
-rw-rw-rw-rw- 0 0 10 0 2. prosince 1 4:46:49 2020 0-rw-r
--r-- 0 0 0 8436 2. prosince 13:19:33 2020 README
winscp>

8. Opakujte kroky 4, 5, 6 a 7 u druhého řadiče.

9. Restartujte oba řadiče pro správu, aby se projevil nový certifikát zabezpečení. Po restartování řadičů pro správu byste měli být schopni zobrazit certifikát prostřednictvím uživatelského rozhraní, jak je znázorněno níže, nebo pomocí příkazu SSH "show certificate".

Zobrazení informací o certifikátu.

Ve výchozím nastavení systém vygeneruje jedinečný certifikát SSL pro každý řadič. V případě nejsilnějšího zabezpečení můžete výchozí certifikát vygenerovaný systémem nahradit certifikátem vydaným důvěryhodnou certifikační autoritou.

Panel Certificate Information zobrazuje informace o aktivních certifikátech SSL, které jsou uloženy v systému pro každý řadič. Karty A a B obsahují neformátovaný text certifikátu pro každý z odpovídajících řadičů. Panel také zobrazuje jednu z následujících hodnot stavu a také datum vytvoření každého certifikátu:

• Zákazník dodaný zákazníkem označuje, že řadič používá certifikát, který jste nahráli.

• System generated –Označuje, že řadič používá aktivní certifikát a klíč vytvořený řadičem.

• Neznámý stav – označuje, že certifikát řadiče nelze přečíst. K tomu nejčastěji dochází, když se řadič restartuje, probíhá proces výměny certifikátu nebo jste v systému s jedním řadičem vybrali kartu pro řadič partnera.

Vlastní certifikáty můžete použít tak, že je nahrajete prostřednictvím protokolu FTP nebo SFTP nebo pomocí parametru contents příkazu příkazového řádku pro vytvoření certifikátu vytvoříte certifikáty s vlastním jedinečným obsahem certifikátu. Aby se projevil nový certifikát, je nutné nejprve restartovat řadič pro správu.

Chcete-li ověřit, zda byla výměna certifikátu úspěšná a řadič používá certifikát, který jste zadali, ujistěte se, že je stav certifikátu dodaný zákazníkem, datum vytvoření je správné a obsah certifikátu představuje očekávaný text. 

Zobrazit informace o certifikátu:

1. Na banneru klikněte na systémový panel a vyberte možnost Zobrazit informace o certifikátu. Otevře se panel Certificate Information.

2. Po dokončení zobrazení informací o certifikátu klikněte na tlačítko Close.

Před instalací certifikátu se informace zobrazí následovně – vygenerované systémem:
 

Po instalaci vlastního certifikátu bude označen jako dodaný zákazníkem:

Odebrání vlastních certifikátů.

Chcete-li obnovit certifikát vygenerovaný systémem a odebrat vlastní certifikát z obou řadičů, přihlaste se ke každému řadiči a spusťte příkaz:

# create certificate restore

. Chcete-li, aby se změna certifikátu projevila, je nutné řadič pro správu restartovat na všech řadičích, na nichž jste provedli příkaz. 

Pouze příklad cli při použití relace SSH systému Linux a ME4.

1. Vytvořte certifikát a vložte na počítač se systémem Linux soubory PEM .cer a .key. 

2. Z relace SSH v poli Linux přeneste soubory pomocí protokolu FTP do pole a poté otevřete relaci SSH do pole, čímž restartuje oba řadiče na zařízení ME4. Po restartování řadičů pro správu ME4 trvá přibližně dvě minuty, než se budete moci znovu přihlásit k rozhraní ME4 a zobrazit nový certifikát. Poznámka: Spuštění jednoho řadiče může trvat déle, takže dokud nejsou oba řadiče plně zapnuté, může se na certifikátu systému zobrazovat jeden řadič a jeden na certifikátu zákazníka.

V následujícím příkladu jsou IP adresy řadiče ME4:

Odpověď:  100.85.XXX.X
B:  100.85.XXX.XX8

Abyste mohli mít certifikát v obou řadičích, je nutné nahrát soubor certifikátu a klíče na oba řadiče pomocí protokolu FTP a poté restartovat řadič pro správu na obou řadičích.

[grpadmin@hitle18 certs]$ pwd
/home/grpadmin/Dokumenty/certifikáty
[grpadmin@hitle18 certifikátu]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certs]$ ftp 100.85.239.3
Připojeno k 100.85.239.3 (100.85.239.3).
220– vítejte v Pure-FTPd.
220 – Vy jste uživatelským číslem 1 z 5 povolených.
Místní čas 220 je nyní 23:29. Port serveru: 21.220
– Jedná se o soukromý systém –na tomto serveru není rovněž uvítací žádné anonymní přihlášení
220-IPv6 připojení.
220 Po 15 minutách nečinnosti budete odpojeni.
Název (100.85.239.3:grpadmin): manage
331 Možnosti správy uživatelů jsou v pořádku. Je vyžadováno
hesloHeslo:
230–OK. Aktuální omezený adresář je /.
.
.
230 – Pokyny pro načtení souborů certifikátů zabezpečení:
230–1. Soubory bezpečnostního certifikátu sestávají ze dvou souborů.
230 – Budete mít soubor certifikátu a soubor klíče.
230–2. Přihlaste se pomocí uživatelského jména a hesla.
230–3. Zadejte příkaz "put <certificate-file-name> cert-file"
230, kde <certificate-file-name> je název souboru
certifikátu230– pro váš konkrétní systém.
230–4. Zadejte "put <key-file-name> cert-key-file"
230- kde <key-file-name> je název souboru bezpečnostního klíče pro
230 – váš konkrétní systém.
230–5.  Restartujte oba řadiče pro správu, aby bylo nové zabezpečení
Certifikát 230 platí.
230–
Č. 230
Typ vzdáleného systému je UNIX.
Přenos souborů pomocí binárního režimu.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 Přechod do pasivního režimu (100, 85 239, 3 127, 0)
150 přijatých datových připojení
226bitový přenos souborů dokončen. Spuštění: (2020-12-10 17:40:12)
STAV: Načítání souboru
bezpečnostního certifikátu226–
226 Provoz dokončen. (2020-12-10 17:40:18)
1 050 bajtů odeslaných v 9.4e-05 s (11170.21 Kbytes/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 Přechod do pasivního režimu (100, 85 239, 3 204 57)
150 přijatých datových připojení
226bitový přenos souborů dokončen. Spuštění: (2020-12-10 17:40:37)
STAV: Načítání souboru
bezpečnostního certifikátuOvěření nahraného certifikátu a klíče.

Byl nainstalován odeslaný certifikát SSL a klíč. Chcete-li použít řadič, restartujte jej.
226–
226 Provoz dokončen. (2020-12-10 17:40:45)
1 679 bajtů odeslaných v 8.5e-05 s (19752,94 Kbytes/s)
ftp> ls
227 Entering Passive Mode (100, 85, 239, 3, 189, 193)
150 Accepted dataconnection-rw-rw-1 1 0 uživatelů 0. prosince 10 17:400-rw-r--r-- 1 0 0 8436 2. prosince 20:39 README
226-Možnosti:

-L
226 2 odpovídá celkem
ftp> bye
221 – související. Nahráli jste 3 a stáhli jste 0 kbytes.
Odhlášení 221.
[grpadmin@hitle18 certifikátu]$ ftp 100.85.238.178
Připojeno k 100.85.238.178 (100.85.238.178).
220– vítejte v Pure-FTPd.
220 – Vy jste uživatelským číslem 1 z 5 povolených.
Místní čas 220 je nyní 23:30. Port serveru: 21.220
– Jedná se o soukromý systém –na tomto serveru není rovněž uvítací žádné anonymní přihlášení
220-IPv6 připojení.
220 Po 15 minutách nečinnosti budete odpojeni.
Název (100.85.238.178:grpadmin): manage
331 Možnosti správy uživatelů jsou v pořádku. Je vyžadováno
hesloHeslo:
230–OK. Aktuální omezený adresář je /
.
.
.
Typ vzdáleného systému je UNIX.
Přenos souborů pomocí binárního režimu.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 Přechod do pasivního režimu (100, 85 238 178 126 144)
150 přijatých datových připojení
226bitový přenos souborů dokončen. Spuštění: (2020-12-11 23:30:22)
STAV: Načítání souboru
bezpečnostního certifikátu226–
226 Provoz dokončen. (2020-12-11 23:30:28)
1 050 bajtů odeslaných v 4.7e-05 s (22340.42 Kbytes/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 Přechod do pasivního režimu (100 85 238 178 200 227)
150 přijatých datových připojení
226bitový přenos souborů dokončen. Spuštění: (2020-12-11 23:30:40)
STAV: Načítání souboru
bezpečnostního certifikátuOvěření nahraného certifikátu a klíče.

Byl nainstalován odeslaný certifikát SSL a klíč. Chcete-li použít řadič, restartujte jej.
226–
226 Provoz dokončen. (2020-12-11 23:30:47)
1 679 bajtů odeslaných v 5.2e-05 s (32288.46 Kbytes/s)
ftp> bye
221 – související. Nahráli jste 3 a stáhli jste 0 kbytes.
Odhlášení 221.
[grpadmin@hitle18 certifikátu]$ ssh manage@100.85.239.3
Heslo:

DELL EMC ME4024
Název systému: NDC-ME4
Umístění systému: Číslo NDC
Verze: GT280R008 01
# Restartujte mc oba
Během procesu restartování krátce ztratíte komunikaci se zadanými řadiči pro správu.
Chcete pokračovat? (y/n) y
Info: Restartování místního mc (A)...
Úspěch: Command completed successfully. – Oba počítače MCs byly restartovány. (2020-12-11 23:31:26)
# Zaměněná
Připojení k 100.85.239.3 je uzavřeno.
.
.  Bude trvat asi 2 minuty, než se budete moci znovu přihlásit do pole
.  podívejte se na certifikáty
.
[grpadmin@hitle18 certifikátu]$ ssh manage@100.85.239.3
Heslo:

DELL EMC ME4024
Název systému: NDC-ME4
Umístění systému: Číslo NDC
Verze: GT280R008 01
# zobrazí certifikáty
Chyba: Příkaz nebyl rozpoznán. (2020-12-11 23:36:35)
# show certificate (Zobrazit certifikát)
Stav
certifikátu------------------
Řadič: A
Stav certifikátu: Zákazníkem dodaný
Čas vytvoření: 11. 12. 2020, 23:29:29
Text certifikátu: Certifikát:
    Data:
        Version: 1 (0x0)
Sériové číslo: 3 580 (0xdfc)
Algoritmus podpisu: sha1WithRSAEncryption
Emitenta: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=Podpora webCert, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Platnost
Ne dříve: 22. srpna 05:27:41 2012 GMT
Po uplynutí: 21. srpna 2017 05:27:41 GMT
Předmět: C=JP, ST=Tokij, O=Frank4DD, CN=www.example.com
Informace o veřejném klíči předmětu:
            Algoritmus veřejného klíče: rsaEncryption
Veřejný klíč RSA: (2048 bitů)
Modul:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Exponent: 65537 (0x10001)
Algoritmus podpisu: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8: 13


Stav
certifikátu------------------
Řadič: Stav certifikátu B: Zákazníkem dodaný
Čas vytvoření: 11. 12. 2020 23:30:22
Text certifikátu: Certifikát:
    Data:
        Version: 1 (0x0)
Sériové číslo: 3 580 (0xdfc)
Algoritmus podpisu: sha1WithRSAEncryption
Emitenta: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=Podpora webCert, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Platnost
Ne dříve: 22. srpna 05:27:41 2012 GMT
Po uplynutí: 21. srpna 2017 05:27:41 GMT
Předmět: C=JP, ST=Tokij, O=Frank4DD, CN=www.example.com
Informace o veřejném klíči předmětu:
            Algoritmus veřejného klíče: rsaEncryption
Veřejný klíč RSA: (2048 bitů)
Modul:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Exponent: 65537 (0x10001)
Algoritmus podpisu: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8: 13


Úspěch: Command completed successfully. (2020-12-11 23:36:41)
#