PowerVault ME4: Installera och ta bort anpassade certifikat

Installera/ta bort anpassade certifikat på ME4

Installera certifikatet.
Visa certifikatinformation.
Ta bort anpassade certifikat.
Cli-exempel med Linux- och ME4 SSH-session.
 

Installera certifikatet.

Utför följande steg för att installera ett säkerhetscertifikat från tredje part eller ett självsignerat säkerhetscertifikat:

1. I PowerVault Manager förbereder du dig för att använda FTP eller SFTP:

   1. Bestäm IP-adresserna för nätverksporten för systemstyrenheterna under ME4 System Settings > Network.

   2. Kontrollera att FTP- eller SFTP-tjänsten är aktiverad i systemet under ME4-systeminställningstjänsterna > . Om du använder SFTP registrerar du vilken port som SFTP är inställd att använda.

3. Kontrollera att användaren du planerar att använda har hantera rollbehörigheter och FTP- eller SFTP-gränssnittsbehörigheter under ME4 System Settings > Manage Users.

2. Placera certifikatfilen och nyckelfilen i en katalog som är tillgänglig för FTP-klienten. Formatet för certifikatet och nyckelfilen måste vara PEM. Om du använder DER-filer kan du överföra dem, men de kan inte användas när du startar om hanteringen på styrenheterna. Obs! ME4 stöder certifikat för jokertecken.

3. Öppna en kommandotolk (Windows) eller ett terminalfönster (UNIX) och gå till den katalog som innehåller certifikatfilerna. Du kan inte använda ett gränssnitt som Filezilla-klienten eftersom kommandoparametrarna för put-raden kräver kommandoparametrar efter filnamnet.

(Obs! Windows FTP kan inte göra passiv FTP om brandväggen är aktiverad. Det kan kanske logga in på ME4-disksystemet, men fel uppstår med ett portanslutningsproblem när du försöker skicka filer. Om du vill använda Kommandorads-FTP i Windows måste du avaktivera Windows-brandväggen innan du startar.)

4. Skriv: sftp controller-network-address -P port eller ftp controller-network-address. Du måste överföra filerna till båda styrenheterna för att de ska kunna användas på båda styrenheterna.

Exempel: sftp 10.235.XXX.XXX -P 1022 eller ftp 10.X.0.X.

Logga in som en användare med hantera rollbehörigheter och FTP- eller SFTP-gränssnittsbehörigheter. I de här exemplen använde jag Kommandoradsklienten för WinSCP FTP, men om du inaktiverar Windows-brandväggen kan du använda Ftp-klienten i Windows. En Linux-klient kan också användas.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
fråga om inloggningsuppgifter ...
Användarnamn: hantera
anslutning till 100.85.XXX.X ...
Password:
Connected
Starting the session...
Sessionen startades.
Aktiv session: [1] 100.85.XXX.X
winscp>

5. Skriv: put certificate-file-name cert-file där certifikatfilnamnet är namnet på certifikatfilen för ditt specifika system. Du kan få ett filfel eftersom katalogen som certifikatet läggs i är en dold katalog som FTP-användaren inte har behörighet att ändra.

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 KB |    0,0 KB/s | binär | 100 %
winscp>

6. Skriv: put key-file-name cert-key-file där key-file-name är namnet på säkerhetsnyckelfilen för ditt specifika system.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 KB |    0,0 KB/s | binär | 100 %
winscp>

7. Obs! Om du gör en kataloglista på disksystemets FTP-webbplats när du har överfört dessa filer kommer du inte att se filerna.  De lagras i dolda kataloger som FTP-användaren inte kan titta på.

winscp> ls
D--------- 0 0 ..
Lrwxrwxrwx 0 0 0 12 dec 2 13:19:33 2020 .banner ->
-rw-rw-rw- 0 0 10 0 dec 2 2 14:46:49 2020 0-rw-r
--r-- 0 0 0 8436 Dec 2 13:19:33 2020 README
winscp>

8. Upprepa steg 4, 5, 6 och 7 för den andra styrenheten.

9. Starta om båda hanteringsstyrenheterna för att det nya säkerhetscertifikatet ska börja gälla. När hanteringsstyrenheterna har startats om bör du kunna visa certifikatet via användargränssnittet som nedan eller via SSH-kommandot "show certificate".

Visa certifikatinformation.

Som standard genererar systemet ett unikt SSL-certifikat för varje styrenhet. För den starkaste säkerheten kan du ersätta det systemgenererade standardcertifikatet med ett certifikat som har utfärdats av en betrodd certifikatutfärdare.

Panelen Certificate Information visar information om de aktiva SSL-certifikat som lagras i systemet för varje styrenhet. Flikarna A och B innehåller oformaterad certifikattext för var och en av motsvarande styrenheter. Panelen visar även ett av följande statusvärden samt skapandedatumet för varje certifikat:

• Kunden anger att styrenheten använder ett certifikat som du har överfört.

• System generated - Indikerar att styrenheten använder ett aktivt certifikat och en nyckel som har skapats av styrenheten.

• Okänd status – Anger att styrenhetens certifikat inte kan läsas. Detta inträffar oftast när en styrenhet startas om, certifikatutbytesprocessen fortfarande pågår eller du har valt fliken för en partnerstyrenhet i ett system med en styrenhet.

Du kan använda dina egna certifikat genom att överföra dem via FTP eller SFTP eller genom att använda innehållsparametern för att skapa cli-kommandot för certifikat för att skapa certifikat med ditt eget unika certifikatinnehåll. För att ett nytt certifikat ska börja gälla måste du först starta om hanteringsstyrenheten för det.

För att verifiera att certifikatbytet slutfördes och styrenheten använder det certifikat som du har angett ska du se till att certifikatstatusen har angetts av kunden, att skapandedatumet är korrekt och att certifikatinnehållet är den förväntade texten. 

Visa certifikatinformation:

1. Klicka på systempanelen i bannern och välj Visa certifikatinformation. Panelen Certificate Information öppnas.

2. När du är klar med att visa certifikatinformation klickar du på Stäng.

Innan du installerar ett certifikat ser informationen ut så här – systemgenererad:
 

När du har installerat ditt eget certifikat identifieras det som tillhandahållen kund:

Ta bort anpassade certifikat.

Om du vill återställa det systemgenererade certifikatet och ta bort det anpassade certifikatet från båda styrenheterna loggar du in på varje styrenhet och kör kommandot:

# create certificate restore

För att certifikatändringen ska börja gälla måste du starta om Management Controller på alla styrenheter som du körde kommandot på. 

Cli-exempel med Linux- och ME4 SSH-session.

1. Skapa certifikatet och placera PEM .cer och .key på Linux-datorn. 

2. Från en SSH-session i Linux-rutan överför du filerna med FTP till disksystemet och öppnar sedan en SSH-session till disksystemet för att starta om båda styrenheterna på ME4. Det tar ungefär två minuter efter omstart av ME4-hanteringsstyrenheterna innan du kan logga in på ME4 igen och visa det nya certifikatet. Obs! En styrenhet kan ta längre tid att aktivera än den andra, så tills båda styrenheterna är helt igång kan du se en styrenhet på ett systemcertifikat och en på ett kundcertifikat.

I exemplet nedan är IP-adresserna till ME4-styrenheten:

A:  100.85.XXX.X
B:  100.85.XXX.XX8

Du måste överföra certifikat- och nyckelfilen till båda styrenheterna med FTP och sedan starta om hanteringsstyrenheten på båda styrenheterna för att båda styrenheterna ska ha certifikatet.

[grpadmin@hitle18 certs]$ pwd
/home/grpadmin/Dokument/certifikat
[grpadmin@hitle18 certs]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certs]$ ftp 100.85.239.3
Ansluten till 100.85.239.3 (100.85.239.3).
220 – Välkommen till ren FTPd.
220 – du är användarnummer 1 av 5 tillåten.
220 – lokal tid är nu 23:29. Serverport: 21.220
– Det här är ett privat system – det finns inga anonyma inloggningsanslutningar
för220-IPv6 på den här servern.
220 Du kopplas bort efter 15 minuters inaktivitet.
Namn (100.85.239.3:grpadmin): manage
331 Användarhantering OK. Lösenord krävs
Lösenord:
230 –OK. Aktuell begränsad katalog är /.
.
.
230- Instruktioner för inläsning av säkerhetscertifikatfiler:
230–1. Säkerhetscertifikatfilerna består av ett par filer.
230 – Du har en certifikatfil och en nyckelfil.
230–2. Logga in med ett användarnamn och lösenord.
230–3. Skriv "put <certificate-file-name> cert-file"
230 – där <certificate-file-name> är namnet på certifikatfilen
230 för ditt specifika system.
230–4. Skriv "put <key-file-name> cert-key-file"
230 – där <key-file-name> är namnet på säkerhetsnyckelfilen för
230 ditt specifika system.
230–5.  Starta om båda hanteringsstyrenheterna för att få den nya säkerheten
230 – certifikatet träder i kraft.
230 –
230
Fjärrsystemtypen är UNIX.
Använda binärt läge för att överföra filer.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 – aktivera passivt läge (100, 85, 239, 3 127, 0)
150 Accepterad dataanslutning
226-filöverföring slutförd. Starta driften: (2020-12-10 17:40:12)
STATUS: Läsa in säkerhetscertifikatfilen
226 –
226 Åtgärden har slutförts. (2020-12-10 17:40:18)
1 050 byte skickas på 9,4e–05 sekunder (1 1170,21 Kbyte/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 – aktivera passivt läge (100, 85, 239, 3 204, 57)
150 Accepterad dataanslutning
226-filöverföring slutförd. Starta driften: (2020-12-10 17:40:37)
STATUS: Läsa in säkerhetscertifikatfilen
Verifiera överfört certifikat och nyckel.

Det uppladdade SSL-certifikatet och -nyckeln har installerats. Starta om styrenheten för att tillämpa den.
226 –
226 Åtgärden har slutförts. (2020-12-10 17:40:45)
1 679 byte skickas på 8,5e–05 sekunder (1 9752,94 Kbyte/s)
ftp> ls
227 – aktivera passivt läge (100,85,239,3,189,193)
150 Accepterad dataanslutning-rw-rw-rw-1
1 0 användare 0 dec 10 17:400-rw-r--r-- 1 0 0 8436 Dec 2 20:39 README
226-Options:
-L
226 2 matchningar totalt
ftp> bye
221-Säg adjö. Du laddade upp 3 och hämtade 0 kbyte.
221 Logga ut.
[grpadmin@hitle18 certs]$ ftp 100.85.238.178
Ansluten till 100.85.238.178 (100.85.238.178).
220 – Välkommen till ren FTPd.
220 – du är användarnummer 1 av 5 tillåten.
220 – lokal tid är nu 23:30. Serverport: 21.220
– Det här är ett privat system – det finns inga anonyma inloggningsanslutningar
för220-IPv6 på den här servern.
220 Du kopplas bort efter 15 minuters inaktivitet.
Namn (100.85.238.178:grpadmin): manage
331 Användarhantering OK. Lösenord krävs
Lösenord:
230 –OK. Aktuell begränsad katalog är/
.
.
.
Fjärrsystemtypen är UNIX.
Använda binärt läge för att överföra filer.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 – aktivera passivt läge (100, 85, 238, 178, 126, 144)
150 Accepterad dataanslutning
226-filöverföring slutförd. Starta driften: (2020-12-11 23:30:22)
STATUS: Läsa in säkerhetscertifikatfilen
226 –
226 Åtgärden har slutförts. (2020-12-11 23:30:28)
1 050 byte skickas på 4,7e–05 sekunder (2 2340,42 Kbyte/s)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 – aktivera passivt läge (100, 85, 238, 178, 200 227)
150 Accepterad dataanslutning
226-filöverföring slutförd. Starta driften: (2020-12-11 23:30:40)
STATUS: Läsa in säkerhetscertifikatfilen
Verifiera överfört certifikat och nyckel.

Det uppladdade SSL-certifikatet och -nyckeln har installerats. Starta om styrenheten för att tillämpa den.
226 –
226 Åtgärden har slutförts. (2020-12-11 23:30:47)
1679 byte skickas in 5,2e-05 sekunder (32288,46 Kbyte/s)
ftp> bye
221-Säg adjö. Du laddade upp 3 och hämtade 0 kbyte.
221 Logga ut.
[grpadmin@hitle18 certs]$ ssh manage@100.85.239.3
Lösenord:

DELL EMC ME4024
Systemnamn: NDC-ME4
Systemplats: NDC
Version: GT280R008–01
# starta om mc båda
Under omstartsprocessen förlorar du kort kommunikationen med den eller de angivna hanteringsstyrenheterna.
Vill du fortsätta? (å/n) y
Information om: Startar om den lokala MC (A)...
Framgång: Command completed successfully. – Båda MCs startades om. (2020-12-11 23:31:26)
# Killed (# avlivat
)Anslutning till 100.85.239.3 stängt.
.
.  Det tar ungefär två minuter innan du kan logga in på disksystemet igen till
.  visa certifikaten
.
[grpadmin@hitle18 certs]$ ssh manage@100.85.239.3
Lösenord:

DELL EMC ME4024
Systemnamn: NDC-ME4
Systemplats: NDC
Version: GT280R008–01
# visa certifikat
Fel: Kommandot identifierades inte. (2020-12-11 23:36:35)
# visa certifikat
Certifikatstatus
------------------
Controller: A
Certifikatstatus: Kundlevererade
Skapad tid: 2020-12-11 23:29:29
Certifikattext: Certifikat:
    Data:
        Version: 1 (0x0)
Serienummer: 3580 (0xdfc)
Signaturalgoritm: sha1WithRSAEncryption
Emittenten: C=JP, ST=Tokyo, L=Lucko-ku, O=Frank4DD, OU=WebCert-support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Giltighet
Inte tidigare: 22 aug 2012 kl. 05:27:41 GMT
Inte efter: 21 aug 2017 GMT
kl. 05:27:41 Ämne: C=JP, ST=Tokyo, O=Frank4DD, CN=www.example.com
Information om offentlig nyckel:
            Algoritm för offentlig nyckel: rsaEncryption
RSA Public-Key: (2 048 bitar)
Modulus:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Exponent: 65537 (0x10001)
Signaturalgoritm: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Certifikatstatus
------------------
Controller: Status för B-certifikat: Kundlevererade
Skapad tid: 2020-12-11 23:30:22
Certifikattext: Certifikat:
    Data:
        Version: 1 (0x0)
Serienummer: 3580 (0xdfc)
Signaturalgoritm: sha1WithRSAEncryption
Emittenten: C=JP, ST=Tokyo, L=Lucko-ku, O=Frank4DD, OU=WebCert-support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Giltighet
Inte tidigare: 22 aug 2012 kl. 05:27:41 GMT
Inte efter: 21 aug 2017 GMT
kl. 05:27:41 Ämne: C=JP, ST=Tokyo, O=Frank4DD, CN=www.example.com
Information om offentlig nyckel:
            Algoritm för offentlig nyckel: rsaEncryption
RSA Public-Key: (2 048 bitar)
Modulus:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Exponent: 65537 (0x10001)
Signaturalgoritm: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Framgång: Command completed successfully. (2020-12-11 23:36:41)
#