PowerVault ME4：カスタム証明書のインストールと削除

ME4でのカスタム証明書のインストール/削除

証明書のインストール。
証明書情報の表示。
カスタム証明書の削除。
LINUXおよびME4 SSHセッションを使用したCLIのみの例。
 

証明書のインストール。

サード パーティまたは自己署名証明書をインストールするには、次の手順を実行します。

1. PowerVault Managerで、FTPまたはSFTPを使用する準備をします。

   1. ME4 System Settings Network で、システム コントローラのネットワーク ポートIPアドレスを確認します > 。

   2. ME4システム設定 > サービスの下で、FTPまたはSFTPサービスがシステムで有効になっていることを確認します。SFTPを使用する場合は、使用するように設定されているポートSFTPを記録します。

3. 使用する予定のユーザーが、 ME4 System Settings > Manage Users の下で、ロールの管理権限とFTPまたはSFTPインターフェイスの権限を持っていることを確認します。

2. 証明書ファイルとキー ファイルを、FTPクライアントからアクセスできるディレクトリに配置します。証明書とキー ファイルの形式はPEMである必要があります。DERファイルを使用する場合はアップロードできますが、コントローラーの管理を再開するときに使用することはできません。注：ME4は、ワイルドカード証明書をサポートしています。

3. コマンド プロンプト(Windows)またはターミナル ウィンドウ(UNIX)を開き、証明書ファイルが格納されているディレクトリに移動します。FilezillaクライアントなどのUIを使用することはできません。これは、put行にファイル名の後にコマンド パラメーターが必要になるためです。

（注：ファイアウォールが有効になっている場合、Windows FTPはパッシブFTPを実行できません。ME4アレイにログインできる場合がありますが、ファイルを送信しようとするとポート接続の問題でエラーが発生します。Windowsコマンド ラインFTPを使用する場合は、開始する前にWindowsファイアウォールを無効にする必要があります。)

4. 「 sftp controller-network-address -P port 」または「 ftp controller-network-address 」と入力します。両方のコントローラーで使用するには、両方のコントローラーにファイルをアップロードする必要があります。

例: sftp 10.235.XXX.XXX -P 1022 または ftp 10.X.0.X X 。

ロールの管理権限とFTPまたはSFTPインターフェイスの権限を持つユーザーとしてログインします。これらの例では、WinSCP FTPコマンド ライン クライアントを使用しましたが、Windowsファイアウォールを無効にした場合は、Windows FTPクライアントを使用できます。Linuxクライアントも使用できます。  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
Prompting for credentials...
ユーザー名: manage
Connecting to 100.85.XXX.X ...
パスワード:
Connected
セッションの開始...
セッションが開始されました。
アクティブ セッション: [1]100.85.XXX.X
winscp>

5. タイプ: put certificate-file-name cert-file ここで、 certificate file name は、特定のシステムの証明書ファイルの名前です。証明書が格納されているディレクトリが、FTPユーザーが変更する権限を持たない隠しディレクトリであるため、ファイル エラーが発生することがあります。

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |          1 KB |   0.0 KB/秒 |バイナリ |100%
winscp>

6. タイプ: put key-file-name cert-key-file ここで、 key-file-name は、お使いの特定のシステムのセキュリティ キー ファイルの名前です。   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |          1 KB |   0.0 KB/秒 |バイナリ |100%
winscp>

7. これらのファイルをアップロードした後にアレイFTPサイトでディレクトリ リストを実行すると、ファイルは表示されません。  これらは、FTPユーザーが見ることができない隠しディレクトリーに格納されます。

winscp> ls
D--------- 0 0 ..
Lrwxrwxrwx 0 0 0 12 12月2日 13:19:33 2020 .banner ->
-rw-rw-rw- 0 0 10 0 12月2 14 :46:49 2020 0-rw-r-r
-- 0 0 0 0 8436 12月2日13:19:33 2020 README
winscp>

8. 他のコントローラーに対してステップ4、5、6、7を繰り返します。

9. 両方の管理コントローラを再起動して、新しいセキュリティ証明書を有効にします。管理コントローラーを再起動した後、次に示すように、UIを介して、またはSSHコマンド「show certificate」を使用して証明書を表示できるようになります。

証明書情報の表示。

デフォルトでは、システムは各コントローラに固有のSSL証明書を生成します。最も強力なセキュリティを確保するために、デフォルトのシステム生成証明書を信頼できる認証局から発行された証明書に置き換えることができます。

[証明書情報]パネルには、各コントローラのシステムに保存されているアクティブなSSL証明書の情報が表示されます。タブAとBには、対応する各コントローラーの未フォーマットの証明書テキストが含まれています。パネルには、次のいずれかのステータス値と各証明書の作成日も表示されます。

• お客様提供- コントローラーがアップロードした証明書を使用していることを示します。

• システム生成 - コントローラーがアクティブな証明書とコントローラーによって作成されたキーを使用していることを示します。

• 不明ステータス - コントローラの証明書を読み取ることができないことを示します。これは、コントローラーの再起動、証明書の交換プロセスがまだ進行中、またはシングルコントローラー システムのパートナー コントローラーのタブを選択した場合に最も頻繁に発生します。

独自の証明書を使用するには、FTPまたはSFTPを使用してアップロードするか、 create certificate CLIコマンドの contents パラメーターを使用して、独自の一意の証明書コンテンツを使用して証明書を作成します。新しい証明書を有効にするには、まず管理コントローラーを再起動する必要があります。

証明書の交換が正常に行われ、コントローラーが指定した証明書を使用していることを確認するには、証明書のステータスがお客様提供であり、作成日が正しく、証明書の内容が予想されるテキストであることを確認します。

証明書情報の表示:

1. バナーで、システム パネルをクリックし、[ 証明書情報の表示 ]を選択します。証明書情報 パネルが開きます。

2. 証明書情報の表示が完了したら、 閉じる をクリックします。

証明書をインストールする前に、情報は次のようになります。 システム生成:
 

独自の証明書をインストールすると、お客様提供として識別されます。

カスタム証明書の削除。

システム生成の証明書を復元し、両方のコントローラーからカスタム証明書を削除するには、各コントローラーにログインし、 コマンド:

# create certificate restore

を実行します。証明書の変更を有効にするには、コマンドを実行したすべてのコントローラーで Management Controller を再起動する必要があります。 

LINUXおよびME4 SSHセッションを使用したCLIのみの例。

1. 証明書を作成し、LINUXマシンにPEM .cerと.keyを配置します。 

2. LinuxボックスのSSHセッションから、FTPを使用してアレイにファイルを転送し、アレイへのSSHセッションを開いてME4の両方のコントローラーを再起動します。ME4管理コントローラーを再起動してから、ME4に再度ログインして新しい証明書を表示できるようになるまでに約2分かかります。注：1台のコントローラーが他のコントローラーよりも長く起動する場合があるため、両方のコントローラーが完全に起動するまで、システム証明書に1台のコントローラー、お客様の証明書に1台のコントローラーが表示される場合があります。

次の例では、ME4コントローラーIPは次のとおりです。

A:  100.85.XXX.X
B:  100.85.XXX.XX8

証明書とキーファイルを FTP を使用して両方のコントローラにアップロードしてから、両方のコントローラで管理コントローラを再起動して、両方のコントローラで証明書を取得する必要があります。

[grpadmin@hitle18証明書]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18証明書]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18証明書]$ ftp 100.85.239.3
100.85.239.3(100.85.239.3)
に接続されています。220-Pure-FTPdへようこそ。
220 - ユーザー番号1/5が許可されています。
220-現地時間は現在23:29です。サーバー ポート: 21.220
-これはプライベート システムです。このサーバーでは匿名ログイン
220-IPv6接続も歓迎されません。
220 15分間操作しないと切断されます。
名前(100.85.239.3:grpadmin):manage
331 ユーザーが[OK]を管理します。必要な
パスワードパスワード：
230-OK。現在の制限付きディレクトリは/ です。
.
.
230-セキュリティ証明書ファイルのロード手順:
230~1。セキュリティ証明書ファイルは、1組のファイルで構成されます。
230- 証明書ファイルとキーファイルがあります。
230~2.ユーザー名とパスワードを使用してログインします。
230~3.「put <certificate-file-name> cert-file」
と入力します。ここで<、 certificate-file-name> は特定のシステムの証明書ファイル
230の名前です。
230~4。「put <key-file-name> cert-key-file」
と入力します。ここで<、 key-file-name> は、お使いの特定のシステムである230のセキュリティ キー ファイル
の名前です。
230~5。  両方の管理コントローラを再起動して、新しいセキュリティ
を確保します。230- 証明書が有効になります。
230-
230
リモート システム タイプはUNIXです。
バイナリ モードを使用してファイルを転送する。
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 パッシブ モードに入る(100、85、239、3、127、0)
150 受け入れ可能なデータ接続
226-ファイル転送が完了しました。開始操作: (2020-12-10 17:40:12)
ステータス：セキュリティ証明書ファイル
のロード226-
226 操作が完了しました。(2020-12-10 17:40:18)
1050バイト(9.4e~05秒)で送信(1,1170.21 Kバイト/秒)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 パッシブ モードに入る(100、85、239、3、204、57)
150 受け入れ可能なデータ接続
226-ファイル転送が完了しました。開始操作: (2020-12-10 17:40:37)
ステータス：セキュリティ証明書ファイル
のロードアップロードされた証明書とキーの確認。

アップロードされたSSL証明書とキーがインストールされました。コントローラーを再起動して適用します。
226-
226 操作が完了しました。(2020-12-10 17:40:45)
1679バイト(8.5e~05秒)で送信(19752.94 Kbytes/秒)
ftp> ls
227 パッシブ モード(100、85、239、3、189、193)
150 受け入れ可能なデータ接続
-rw-rw-rw- 1 0 users 12月10日17:400-rw-r--r-- 1 0 0 8436 12月2 20:39 README
226-Options:
-L
合計226 2が
一致ftp> bye
221-Goodbye。3をアップロードし、0 kbytesをダウンロードしました。
221ログアウト。
[grpadmin@hitle18証明書]$ ftp 100.85.238.178
100.85.238.178(100.85.238.178)
に接続されています。220-Pure-FTPdへようこそ。
220 - ユーザー番号1/5が許可されています。
220-現地時間は現在23:30です。サーバー ポート: 21.220
-これはプライベート システムです。このサーバーでは匿名ログイン
220-IPv6接続も歓迎されません。
220 15分間操作しないと切断されます。
名前(100.85.238.178:grpadmin):manage
331 ユーザーが[OK]を管理します。必要な
パスワードパスワード：
230-OK。現在の制限付きディレクトリは/ です。
.
.
.
リモート システム タイプはUNIXです。
バイナリ モードを使用してファイルを転送する。
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 パッシブ モードに入る(100、85、238、178、126、144)
150 受け入れ可能なデータ接続
226-ファイル転送が完了しました。開始操作: (2020-12-11 23:30:22)
ステータス：セキュリティ証明書ファイル
のロード226-
226 操作が完了しました。(2020-12-11 23:30:28)
1050バイトを4.7e~05秒(22340.42 Kbytes/秒)
で送信ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 パッシブ モードに入る(100、85、238、178、200、227)
150 受け入れ可能なデータ接続
226-ファイル転送が完了しました。開始操作: (2020-12-11 23:30:40)
ステータス：セキュリティ証明書ファイル
のロードアップロードされた証明書とキーの確認。

アップロードされたSSL証明書とキーがインストールされました。コントローラーを再起動して適用します。
226-
226 操作が完了しました。(2020-12-11 23:30:47)
1679バイト(5.2e~05秒)で送信(32288.46 Kbytes/秒)
ftp> bye
221-Goodbye。3をアップロードし、0 kbytesをダウンロードしました。
221ログアウト。
[grpadmin@hitle18証明書]$ ssh manage@100.85.239.3
パスワード：

Dell EMC ME4024
システム名: NDC-ME4
システムの場所: Ndc
バージョン：GT280R008-01
# mc both
を再起動します再起動プロセス中に、指定した管理コントローラとの通信が一時的に失われます。
続行しますか? (y/n)y
情報：ローカルMC(A)の再起動...
成功：Command completed successfully.- 両方のMCが再起動されました。(2020-12-11 23:31:26)
# 強制終了
100.85.239.3への接続が終了しました。
.
.  アレイ
に再度ログインするには、約2分かかります。.  証明書
を参照してください。.
[grpadmin@hitle18証明書]$ ssh manage@100.85.239.3
パスワード：

Dell EMC ME4024
システム名: NDC-ME4
システムの場所: Ndc
バージョン：GT280R008-01
# 証明書
の表示エラー：コマンドが認識されませんでした。(2020-12-11 23:36:35)
# 証明書
の表示証明書ステータス
------------------
コント ローラー：A
証明書のステータス: お客様提供
作成時刻: 2020-12-11 23:29:29
証明書テキスト: 証明 書：
    Data:
バージョン: 1(0x0)
シリアル番号: 3580(0xdfc)
署名アルゴリズム:sha1WithRSAEncryption
発行者：C=JP、ST=東京、L=南区、O=Frank4DD、OU=WebCertサポート、CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
妥当 性
Not Before: 2012年8月22日05:27:41(GMT
) Not After: 2017年8月21日05:27:41(GMT
) 件名：C=JP、ST=東京、O=Frank4DD、CN=www.example.com
件名公開キー情報:
            公開キー アルゴリズム:rsaEncryption
RSA公開キー: (2048ビット)
係数：
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
指数：65537(0x10001)
署名アルゴリズム:sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


証明書ステータス
------------------
コント ローラー：B 証明書ステータス: お客様提供
作成時刻: 2020-12-11 23:30:22
証明書テキスト: 証明 書：
    Data:
バージョン: 1(0x0)
シリアル番号: 3580(0xdfc)
署名アルゴリズム:sha1WithRSAEncryption
発行者：C=JP、ST=東京、L=南区、O=Frank4DD、OU=WebCertサポート、CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
妥当 性
Not Before: 2012年8月22日05:27:41(GMT
) Not After: 2017年8月21日05:27:41(GMT
) 件名：C=JP、ST=東京、O=Frank4DD、CN=www.example.com
件名公開キー情報:
            公開キー アルゴリズム:rsaEncryption
RSA公開キー: (2048ビット)
係数：
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
指数：65537(0x10001)
署名アルゴリズム:sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


成功：Command completed successfully.(2020-12-11 23:36:41)
#