PowerVault ME4: Installazione e rimozione dei certificati personalizzati

Installazione/rimozione di certificati personalizzati in ME4

Installazione del certificato.
Visualizzazione delle informazioni sul certificato.
Rimozione dei certificati personalizzati.
Esempio di utilizzo della sola CLI con sessione SSH linux e ME4.
 

Installazione del certificato.

Attenersi alla seguente procedura per installare un certificato di sicurezza autofirmato o di terze parti:

1. In PowerVault Manager, preparare l'utilizzo di FTP o SFTP:

   1. Determinare gli indirizzi IP della porta di rete dei controller di sistema in ME4 System Settings > Network.

   2. Verificare che il servizio FTP o SFTP sia abilitato sul sistema in ME4 System Settings > Services. Se si utilizza SFTP, registrare la porta SFTP impostata per l'utilizzo.

3. Verificare che l'utente che si intende utilizzare disponga delle autorizzazioni di gestione dei ruoli e delle autorizzazioni di interfaccia FTP o SFTP in Impostazioni > di sistema ME4 Gestione utenti.

2. Inserire il file di certificato e il file della chiave in una directory accessibile al client FTP. Il formato del certificato e del file di chiave deve essere PEM. Se si utilizzano file DER, è possibile caricarli, ma non possono essere utilizzati quando si riavvia la gestione sui controller. Nota: ME4 supporta i certificati jolly.

3. Aprire un prompt dei comandi (Windows) o una finestra del terminale (UNIX) e passare alla directory contenente i file del certificato. Non è possibile utilizzare un'interfaccia utente come il client Filezilla perché la riga put richiede parametri di comando dopo il nome del file.

Nota: L'FTP di Windows non può eseguire l'FTP passivo se il firewall è abilitato. Potrebbe essere in grado di accedere all'array ME4, ma in seguito si verifica un problema di connessione della porta quando si tenta di inviare file. Se si desidera utilizzare l'FTP della riga di comando di Windows, è necessario disabilitare windows firewall prima di avviare).

4. Digitare: sftp controller-network-address -P port or ftp controller-network-address. È necessario caricare i file in entrambi i controller per utilizzarli su entrambi i controller.

Ad esempio: sftp 10.235.XXX.XXX -P 1022 o ftp 10.X.0.X X.

Accedere come utente con autorizzazioni di gestione dei ruoli e di interfaccia FTP o SFTP. In questi esempi, è stato utilizzato il client della riga di comando FTP WinSCP ma, disabilitando il firewall di Windows, è possibile utilizzare il client FTP Windows. È possibile utilizzare anche un client Linux.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
Prompting for credentials...
Nome utente: manage
Connecting to 100.85.XXX.X ...
Password:
Connesso
Avvio della sessione in corso...
Sessione avviata.
Sessione attiva: [1] Winscp 100.85.XXX.X
>

5. Digitare : put certificate-file-name cert-file dove certificate file name è il nome del file di certificato per il sistema specifico. È possibile che venga visualizzato un errore di file perché la directory in cui viene inserito il certificato è una directory nascosta che l'utente FTP non dispone delle autorizzazioni per modificare.

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 KB |    0,0 KB/s | binario | 100%
winscp>

6. Digitare put key-file-name cert-key-file dove key-file-name è il nome del file della chiave di sicurezza per il sistema specifico.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 KB |    0,0 KB/s | binario | 100%
winscp>

7. Nota: se si esegue un elenco di directory sul sito FTP dell'array dopo il caricamento di questi file, i file non verranno visualizzati.  Vengono archiviati in directory nascoste che l'utente FTP non può esaminare.

winscp> ls
D--------- 0 0 ..
Lrwxrwxrwx 0 0 0 12 Dic 2 13:19:33 2020 .banner ->
-rw-rw-rw- 0 0 10 0 Dic 14:46:49 2020 0-rw-r
--r-- 0 0 0 8436 Dic 2 13:19:33 2020 README
winscp>

8. Ripetere i passaggi 4, 5, 6 e 7 per l'altro controller.

9. Riavviare entrambi i controller di gestione per rendere effettivo il nuovo certificato di sicurezza. Dopo aver riavviato i controller di gestione, dovrebbe essere possibile visualizzare il certificato tramite l'interfaccia utente come mostrato di seguito o tramite il comando SSH "show certificate".

Visualizzazione delle informazioni sul certificato.

Per impostazione predefinita, il sistema genera un certificato SSL univoco per ogni controller. Per garantire la massima sicurezza, è possibile sostituire il certificato predefinito generato dal sistema con un certificato emesso da un'autorità di certificazione attendibile.

Il pannello Informazioni certificato mostra le informazioni per i certificati SSL attivi archiviati nel sistema per ogni controller. Le schede A e B contengono testo di certificato non formattato per ciascuno dei controller corrispondenti. Il pannello mostra anche uno dei seguenti valori di stato, nonché la data di creazione per ogni certificato:

• Fornito dal cliente- Indica che il controller sta utilizzando un certificato caricato.

• Generato dal sistema: indica che il controller sta utilizzando un certificato e una chiave attivi creati dal controller.

• Stato sconosciuto: indica che il certificato del controller non può essere letto. Questo problema si verifica spesso quando un controller viene riavviato, il processo di sostituzione del certificato è ancora in corso oppure è stata selezionata la scheda per un controller partner in un sistema a controller singolo.

È possibile utilizzare i propri certificati caricandoli tramite FTP o SFTP o utilizzando il parametro dei contenuti del comando create certificate CLI per creare certificati con il proprio contenuto univoco. Affinché un nuovo certificato diventi effettivo, è necessario prima riavviare il controller di gestione.

Per verificare che la sostituzione del certificato abbia avuto esito positivo e che il controller utilizzi il certificato fornito, assicurarsi che lo stato del certificato sia fornito dal cliente, che la data di creazione sia corretta e che il contenuto del certificato sia il testo previsto. 

Visualizzare le informazioni sul certificato:

1. Nel banner, fare clic sul pannello di sistema e selezionare Mostra informazioni certificato. Viene aperto il pannello Informazioni certificato.

2. Al termine della visualizzazione delle informazioni sul certificato, fare clic su Chiudi.

Prima di installare un certificato, le informazioni sono le seguenti: Generato dal sistema:
 

Dopo l'installazione del certificato, verrà indicato come fornito dal cliente:

Rimozione dei certificati personalizzati.

Per ripristinare il certificato generato dal sistema e rimuovere il certificato personalizzato da entrambi i controller, accedere a ciascun controller ed eseguire il comando:

# create certificate restore

Per rendere effettiva la modifica del certificato, è necessario riavviare Il controller di gestione su tutti i controller su cui è stato eseguito il comando. 

Esempio di utilizzo della sola CLI con sessione SSH linux e ME4.

1. Creare il certificato e inserire i file PEM .cer e .key sul computer Linux. 

2. Da una sessione SSH sulla casella Linux trasferire i file utilizzando FTP sull'array, quindi aprire una sessione SSH sull'array per riavviare entrambi i controller sull'ME4. Sono necessari circa due minuti dopo aver riavviato i controller di gestione ME4 prima di poter accedere nuovamente a ME4 e visualizzare il nuovo certificato. Nota: Un controller può richiedere più tempo rispetto all'altro, quindi fino a quando entrambi i controller non sono completamente attivati, è possibile che venga visualizzato un controller su un certificato di sistema e uno su un certificato del cliente.

Nell'esempio riportato di seguito, gli INDIRIZZI IP del controller ME4 sono:

R.  100.85.XXX.X
B:  100.85.XXX.XX8

È necessario caricare il file del certificato e della chiave su entrambi i controller utilizzando FTP, quindi riavviare il controller di gestione su entrambi i controller affinché entrambi i controller dispongano del certificato.

[grpadmin@hitle18 certificati]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18 certificati]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certificati]$ ftp 100.85.239.3
Connesso a 100.85.239.3 (100.85.239.3).
220- Benvenuto in Pure-FTPd.
220-Si è il numero utente 1 di 5 consentito.
220-Ora locale è ora 23:29. Porta server: 21.220-Si
tratta di un sistema privato - Anche inquesto server non è consentito l'accesso
anonimo 220-IPv6.
220 Sarai disconnesso dopo 15 minuti di inattività.
Nome (100.85.239.3:grpadmin): manage
331 Gestione utente OK. Password richiesta
Password:
230 OK. La directory con restrizioni corrente è /.
.
.
230-Istruzioni per caricare i file dei certificati di sicurezza:
Da 230 a 1. I file del certificato di sicurezza sono costituiti da una coppia di file.
230- Si disporrà di un file di certificato e di un file di chiave.
Da 230 a 2. Accedere con un nome utente e una password.
Da 230 a 3. Digitare 'put <certificate-file-name> cert-file'230
- dove <certificate-file-name> è il nome del file
di certificato230- per il sistema specifico.
Da 230 a 4. Digitare "put <key-file-name> cert-key-file"
230- dove <key-file-name> è il nome del file della chiave di sicurezza per
230- il sistema specifico.
Da 230 a 5.  Riavviare entrambi i controller di gestione per avere la nuova sicurezza
230- Il certificato ha effetto.
Da 230 a
230
Il tipo di sistema remoto è UNIX.
Utilizzo della modalità binaria per trasferire i file.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 in modalità passiva (100, 85, 239, 3, 127, 0)
150 Connessioni
dati accettate226-Trasferimento file completato. Avvio dell'operazione: (2020-12-10 17:40:12)
STATO: Caricamento del file
del certificato di sicurezzaDa 226 a
226 Operazione completata. (2020-12-10 17:40:18)
1.050 byte inviati in 9,4e-05 sec (11.170.21 Kbytes/sec)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 in modalità passiva (100, 85, 239, 3, 204, 57)
150 Connessioni
dati accettate226-Trasferimento file completato. Avvio dell'operazione: (2020-12-10 17:40:37)
STATO: Caricamento del file
del certificato di sicurezzaVerifica del certificato e della chiave caricati.

Il certificato SSL caricato e la chiave sono stati installati. Riavviare il controller da applicare.
Da 226 a
226 Operazione completata. (2020-12-10 17:40:45)
1.679 byte inviati in 8,5e-05 sec (19752,94 Kbytes/sec)
ftp> ls
227 in modalità passiva (100, 85, 239, 3, 189, 193)
150 Accepted dataconnection-rw-rw-rw- 1 0 users 0 Dec 10 17:400-rw-r--r-- 1 0 0 8436 Dec 2 20:39 README
226-Options:

-L
226 2 corrispondenze totali
ftp> bye
221-Goodbye. Sono stati caricati 3 e sono stati scaricati 0 kbytes.
221 Disconnessione.
[grpadmin@hitle18 certificati]$ ftp 100.85.238.178
Connesso a 100.85.238.178 (100.85.238.178).
220- Benvenuto in Pure-FTPd.
220-Si è il numero utente 1 di 5 consentito.
220-Ora locale è ora 23:30. Porta server: 21.220-Si
tratta di un sistema privato - Anche inquesto server non è consentito l'accesso
anonimo 220-IPv6.
220 Sarai disconnesso dopo 15 minuti di inattività.
Nome (100.85.238.178:grpadmin): manage
331 Gestione utente OK. Password richiesta
Password:
230 OK. La directory con restrizioni corrente è /
.
.
.
Il tipo di sistema remoto è UNIX.
Utilizzo della modalità binaria per trasferire i file.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 in modalità passiva (100, 85, 238, 178, 126, 144)
150 Connessioni
dati accettate226-Trasferimento file completato. Avvio dell'operazione: (2020-12-11 23:30:22)
STATO: Caricamento del file
del certificato di sicurezzaDa 226 a
226 Operazione completata. (2020-12-11 23:30:28)
1.050 byte inviati in 4,7e-05 sec (22.340,42 Kbytes/sec)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 in modalità passiva (100, 85, 238, 178, 200, 227)
150 Connessioni
dati accettate226-Trasferimento file completato. Avvio dell'operazione: (2020-12-11 23:30:40)
STATO: Caricamento del file
del certificato di sicurezzaVerifica del certificato e della chiave caricati.

Il certificato SSL caricato e la chiave sono stati installati. Riavviare il controller da applicare.
Da 226 a
226 Operazione completata. (2020-12-11 23:30:47)
1.679 byte inviati in 5,2e-05 sec (32288,46 Kbytes/sec)
ftp> bye
221-Goodbye. Sono stati caricati 3 e sono stati scaricati 0 kbytes.
221 Disconnessione.
[grpadmin@hitle18 certificati]$ ssh manage@100.85.239.3
Password:

DELL EMC ME4024
Nome del sistema: NDC ME4
Posizione del sistema: NDC
Versione: GT280R008-01
# riavviare mc both
Durante il processo di riavvio, si perderà brevemente la comunicazione con i controller di gestione specificati.
Continuare? (s/n) s
Informazioni: Riavvio del MC locale (A)...
Successo: Command completed successfully. - Entrambi i PC sono stati riavviati. (2020-12-11 23:31:26)
N. di persone terminato
Connessione a 100.85.239.3 chiusa.
.
.  Sono necessari circa 2 minuti per poter accedere nuovamente all'array per
.  vedere i certificati
.
[grpadmin@hitle18 certificati]$ ssh manage@100.85.239.3
Password:

DELL EMC ME4024
Nome del sistema: NDC ME4
Posizione del sistema: NDC
Versione: GT280R008-01
# mostra certificati
Errore: Il comando non è stato riconosciuto. (2020-12-11 23:36:35)
# mostra certificato
Stato
certificato------------------
Controller: Un
Stato certificato: Fornito dal
clienteTempo creato: 2020-12-11 23:29:29
Testo certificato: Certificato:
    Data:
        Version: 1 (0x0)
Numero di serie: 3580 (0xdfc)
Algoritmo firma: sha1ConRSAEncryption
Emittente: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=Supporto WebCert, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Validità
Non prima: 22 ago 05:27:41 2012 GMT
Non dopo: 21 ago 05:27:41 2017 GMT
Oggetto: C=JP, ST=Tokyo, O=Frank4DD, CN=www.example.com
Informazioni chiave pubblica oggetto:
            Algoritmo chiave pubblica: rsaEncryption
Chiave pubblica RSA: (2048 bit)
Modulo:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Esponente: 65537 (0x10001)
Algoritmo firma: sha1ConRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Stato
certificato------------------
Controller: Stato certificato B: Fornito dal
clienteTempo creato: 2020-12-11 23:30:22
Testo certificato: Certificato:
    Data:
        Version: 1 (0x0)
Numero di serie: 3580 (0xdfc)
Algoritmo firma: sha1ConRSAEncryption
Emittente: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=Supporto WebCert, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Validità
Non prima: 22 ago 05:27:41 2012 GMT
Non dopo: 21 ago 05:27:41 2017 GMT
Oggetto: C=JP, ST=Tokyo, O=Frank4DD, CN=www.example.com
Informazioni chiave pubblica oggetto:
            Algoritmo chiave pubblica: rsaEncryption
Chiave pubblica RSA: (2048 bit)
Modulo:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Esponente: 65537 (0x10001)
Algoritmo firma: sha1ConRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Successo: Command completed successfully. (2020-12-11 23:36:41)
#