PowerVault ME4. Установка и удаление пользовательских сертификатов

Установка/удаление пользовательских сертификатов в ME4

Установка сертификата.
Просмотр сведений о сертификате.
Удаление пользовательских сертификатов.
Пример использования сеансов SSH Linux и ME4 только в интерфейсе командной строки.
 

Установка сертификата.

Для установки сертификата безопасности стороннего производителя или самозаверяющего сертификата безопасности выполните следующие действия:

1. В PowerVault Manager подготовьтесь к использованию FTP или SFTP:

   1. Определение IP-адресов сетевых портов системных контроллеров в разделе Сеть параметров системы ME4 > .

   2. Убедитесь, что служба FTP или SFTP включена в системе в разделе «Me4 System Settings > Services». При использовании SFTP запишите, какой порт SFTP настроен на использование.

3. Убедитесь, что у пользователя, который вы планируете использовать, есть разрешения на управление ролью и разрешения интерфейса FTP или SFTP в разделе Настройки > системы ME4 Управление пользователями.

2. Поместите файл сертификата и файл ключа в каталог, доступный для FTP-клиента. Формат сертификата и файла ключа должен быть PEM. Если вы используете файлы DER, их можно загрузить, но они не могут использоваться при перезапуске управления на контроллерах. Примечание.: ME4 поддерживает сертификаты подстановки.

3. Откройте командную строку (Windows) или окно терминала (UNIX) и перейдите в каталог, содержащий файлы сертификатов. Невозможно использовать пользовательский интерфейс, например Filezilla client, так как строка put требует параметров команды после имени файла.

(Примечание. Если межсетевой экран включен, FTP Windows не может сделать пассивный протокол FTP. Он может войти в массив ME4, но затем при попытке отправки файлов происходит ошибка подключения к порту. Если вы хотите использовать FTP командной строки Windows, необходимо отключить брандмауэр Windows перед запуском.)

4. Введите: sftp controller-network-address -P port or ftp controller-network-address. Необходимо загрузить файлы на оба контроллера, чтобы они использовались на обоих контроллерах.

Например: sftp 10.235.XXX.XXX -P 1022 или ftp 10.X.0.X X.

Войдите в систему в качестве пользователя с разрешениями управления ролью и разрешениями интерфейса FTP или SFTP. В этих примерах я использовал клиент командной строки FTP WinSCP, но если отключить брандмауэр Windows, можно использовать FTP-клиент Windows. Также можно использовать клиент Linux.  

C:\Users\Administrator\Documents\SSLCerts\2048PEM>"c:\Program Files (x86)\WinSCP\WinSCP.com"
winscp> open ftp://100.85.XXX.X
prompting for credentials...
Имя пользователя: manage
Connecting to 100.85.XXX.X ...
Пароль:
Подключено
Запуск сеанса...
Сессия запущена.
Активная сессия: [1] 100.85.XXX.X
winscp>

5. Введите : put certificate-file-name cert-file , где certificate file name — имя файла сертификата для конкретной системы. Может возникнуть ошибка файла, так как каталог, в который положен сертификат, — это скрытый каталог, который пользователь FTP не имеет разрешений на изменение.

winscp> put 2048b-rsa-example-cert.pem cert-file
2048b-rsa-example-cert.pe |           1 Кбайт |    0,0 Кбайт/с | двоичный файл | 100%
winscp>

6. Введите: put key-file-name cert-key-file, где key-file-name — имя файла ключа безопасности для конкретной системы.   

winscp> put 2048b-rsa-example-keypair.pem cert-key-file
2048b-rsa-example-keypair |           1 Кбайт |    0,0 Кбайт/с | двоичный файл | 100%
winscp>

7. Обратите внимание, что при подготовке списка каталогов на FTP-сайте массива после загрузки этих файлов файлы не будут отображаться.  Они хранятся в скрытых каталогах, на которые пользователь FTP не может посмотреть.

winscp> ls
D--------- 0 0 ..
Lrwxrwxrwx 0 0 0 12 декабря 2020 г., 13:19:33 .banner ->
rw-rw-rw-0 0 10 0 декабря 2 14:46:49 2020 0-rw-r
--r-- 0 0 0 0 8436 Декабрь 2 13:19:33 2020 README
winscp>

8. Повторите шаги 4, 5, 6 и 7 для другого контроллера.

9. Перезапустите оба контроллера управления, чтобы новый сертификат безопасности вступил в силу. После перезапуска контроллеров управления вы сможете просмотреть сертификат с помощью пользовательского интерфейса, как показано ниже, или с помощью команды SSH «show certificate».

Просмотр сведений о сертификате.

По умолчанию система создает уникальный SSL-сертификат для каждого контроллера. Для обеспечения самой надежной безопасности можно заменить сертификат, созданный системой по умолчанию, сертификатом, выданная доверенным центром сертификации.

На панели Certificate Information отображается информация об активных SSL-сертификатах, которые хранятся в системе для каждого контроллера. Вкладки A и B содержат неформатированное текст сертификата для каждого из соответствующих контроллеров. На панели также отображаются одно из следующих значений состояния, а также дата создания каждого сертификата:

• Предоставленный заказчиком — указывает, что контроллер использует загруженный сертификат.

• System generated — указывает, что контроллер использует активный сертификат и ключ, созданные контроллером.

• «Неизвестное состояние» — указывает, что сертификат контроллера не может быть прочитаен. Чаще всего это происходит при перезапуске контроллера, когда процесс замены сертификата все еще выполняется или вы выбрали вкладку для контроллера-партнера в системе с одним контроллером.

Вы можете использовать собственные сертификаты, загрузив их через FTP или SFTP или используя параметр содержимого CLI-команды create certificate для создания сертификатов с собственным уникальным содержимым сертификатов. Чтобы новый сертификат вступил в силу, необходимо сначала перезапустить контроллер управления для него.

Чтобы убедиться, что замена сертификата выполнена успешно и контроллер использует предоставленный сертификат, убедитесь, что состояние сертификата предоставлено заказчиком, дата создания верна, а содержимое сертификата является ожидаемым текстом. 

Просмотр сведений о сертификате:

1. На баннере нажмите на панель системы и выберите Показать информацию о сертификате. Откроется панель Certificate Information.

2. После завершения просмотра сведений о сертификате нажмите кнопку Закрыть.

Перед установкой сертификата информация выглядит следующим образом: «Создается системой:
 

После установки собственного сертификата он будет определяться как Предоставленный заказчиком:

Удаление пользовательских сертификатов.

Чтобы восстановить сертификат, созданный системой, и удалить пользовательский сертификат с обоих контроллеров, войдите на каждый контроллер и выполните команду:

# create certificate restore

. Чтобы изменение сертификата вступают в силу, необходимо перезапустить контроллер управления на всех контроллерах, на которые была выполнена команда. 

Пример использования сеансов SSH Linux и ME4 только в интерфейсе командной строки.

1. Создайте сертификат и поместите PEM .cer и .key на компьютер Linux. 

2. Из сеанса SSH в поле Linux передайте файлы с помощью FTP в массив, а затем откройте сессию SSH в массиве, чтобы перезапустить оба контроллера в ME4. После перезапуска контроллеров управления ME4 требуется около двух минут, прежде чем вы сможете снова войти в ME4 и отобразить новый сертификат. Примечание.: Один контроллер может работать дольше, чем другой, поэтому до полного включения обоих контроллеров один контроллер может отображаться в сертификате системы, а другой — в сертификате заказчика.

В приведенном ниже примере IP-адреса контроллера ME4:

О.  100.85.XXX.X
B:  100.85.XXX.XX8

Необходимо загрузить файл сертификата и ключа на оба контроллера с помощью FTP, а затем перезапустить контроллер управления на обоих контроллерах, чтобы оба контроллера получили сертификат.

[grpadmin@hitle18 certs]$ pwd
/home/grpadmin/Documents/certs
[grpadmin@hitle18 certs]$ ls
2048b-rsa-example-cert.pem 2048b-rsa-example-keypair.pem put
[grpadmin@hitle18 certs]$ ftp 100.85.239.3
Подключено к 100.85.239.3 (100.85.239.3).
220 - Добро пожаловать в Pure-FTPd.
220- Вы — пользователь с номером 1 из 5.
220-Локальное время теперь 23:29. Порт сервера: 21.220
- Это частная система. На
этом сервере также не поддерживаются анонимные подключения для входа220-IPv6.
220 Вы будете отключены через 15 минут бездействия.
Имя (100.85.239.3:grpadmin): manage
331 Управление пользователем ОК. Требуется пароль
Пароль:
230-OK. Текущий каталог с ограниченным доступом: /.
.
.
230-Инструкции по загрузке файлов сертификатов безопасности:
230-1. Файлы сертификатов безопасности будут состоять из пары файлов.
230 — файл сертификата и файл ключа.
230-2. Войдите в систему с именем пользователя и паролем.
230–3. Введите «put <certificate-file-name> cert-file'230
- где <certificate-file-name> —
имя файла сертификата230- для конкретной системы.
230–4. Введите «put <key-file-name> cert-key-file'230
- где <key-file-name> —
имя файла ключа безопасности для230- вашей конкретной системы.
230–5.  Перезапустите оба контроллера управления, чтобы получить новую безопасность
230 - сертификат вступают в силу.
230-дюймовые
230
Тип удаленной системы — UNIX.
Использование двоичного режима для передачи файлов.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 переход в пассивный режим (100, 85, 239, 3, 127, 0)
150 принятое подключение для передачи данных
226-файловые операции передачи завершены. Запуск операции: (2020-12-10 17:40:12)
СТАТУС: Загрузка файла сертификата безопасности
226-
226 Операция завершена. (2020-12-10 17:40:18)
1050 байт отправлено за 9,4–05 секунд (11170,21 Кбайт/с)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 Переход в пассивный режим (100, 85, 239, 3204, 57)
150 принятое подключение для передачи данных
226-файловые операции передачи завершены. Запуск операции: (2020-12-10 17:40:37)
СТАТУС: Загрузка файла сертификата безопасности
Проверка загруженного сертификата и ключа.

Загруженный SSL-сертификат и ключ установлены. Перезагрузите контроллер, чтобы применить.
226-
226 Операция завершена. (2020-12-10 17:40:45)
1679 байт отправлено за 8,5–05 секунд (19752,94 Кбайт/с)
FTP> ls
227 Вход в пассивный режим(100, 85, 239, 3, 189, 193)
150 Принятое
подключение для передачи данных-rw-rw-rw- 1 0 пользователей 0 10 декабря 17:400-rw-r--r-- 1 0 0 0 8436 Декабрь 2 20:39 ReadME
226-Options:
-L
Всего 226 2 совпадения
FTP> bye
221 — забудьте. Вы загрузли 3 и загрузли 0 Кбайт.
Выход 221.
[grpadmin@hitle18 certs]$ ftp 100.85.238.178
Подключено к 100.85.238.178 (100.85.238.178).
220 - Добро пожаловать в Pure-FTPd.
220- Вы — пользователь с номером 1 из 5.
220-Локальное время теперь 23:30. Порт сервера: 21.220
- Это частная система. На
этом сервере также не поддерживаются анонимные подключения для входа220-IPv6.
220 Вы будете отключены через 15 минут бездействия.
Имя (100.85.238.178:grpadmin): manage
331 Управление пользователем ОК. Требуется пароль
Пароль:
230-OK. Текущий каталог с ограниченным доступом: /
.
.
.
Тип удаленной системы — UNIX.
Использование двоичного режима для передачи файлов.
ftp> put 2048b-rsa-example-cert.pem cert-file
local: 2048b-rsa-example-cert.pem remote: cert-file
227 Переход в пассивный режим (100, 85, 238, 178, 126, 144)
150 принятое подключение для передачи данных
226-файловые операции передачи завершены. Запуск операции: (2020-12-11 23:30:22)
СТАТУС: Загрузка файла сертификата безопасности
226-
226 Операция завершена. (2020-12-11 23:30:28)
1050 байт отправлено за 4,7–05 секунд (22340,42 Кбайт/с)
ftp> put 2048b-rsa-example-keypair.pem cert-key-file
local: 2048b-rsa-example-keypair.pem remote: cert-key-file
227 Переход в пассивный режим (100, 85, 238, 178, 200, 227)
150 принятое подключение для передачи данных
226-файловые операции передачи завершены. Запуск операции: (2020-12-11 23:30:40)
СТАТУС: Загрузка файла сертификата безопасности
Проверка загруженного сертификата и ключа.

Загруженный SSL-сертификат и ключ установлены. Перезагрузите контроллер, чтобы применить.
226-
226 Операция завершена. (2020-12-11 23:30:47)
1679 байт отправлено за 5,2–05 секунд (32288,46 Кбайт/с)
FTP> bye
221 — забудьте. Вы загрузли 3 и загрузли 0 Кбайт.
Выход 221.
[grpadmin@hitle18 certs]$ ssh manage@100.85.239.3
Пароль:

DELL EMC ME4024
Имя системы: NDC-ME4
Расположение системы: НДЦ
Версия: GT280R008-01
# restart mc both
Во время перезапуска вы на короткое время потеряете связь с указанными контроллерами управления.
Продолжить? (y/n) y (y/n) y (y/n) y
(Информация: Перезапуск локального MC (A)...
Успех: Command completed successfully. - Оба контроллера домена были перезапущены. (2020-12-11 23:31:26)
Количество завершенных
Подключение к 100.85.239.3 закрыто.
.
.  Вам потребуется около 2 минут, чтобы снова войти в массив, чтобы
.  см. сертификаты
.
[grpadmin@hitle18 certs]$ ssh manage@100.85.239.3
Пароль:

DELL EMC ME4024
Имя системы: NDC-ME4
Расположение системы: НДЦ
Версия: GT280R008-01
# show certificates
Ошибка: Команда не распознается. (2020-12-11 23:36:35)
# show certificate
Состояние сертификата
------------------
Контроллер: О.
Состояние сертификата: Предоставленный Заказчиком
Время создано: 2020-12-11 23:29:29
Текст сертификата: Сертификат:
    Data:
        Version: 1 (0x0)
Серийный номер: 3580 (0xdfc)
Алгоритм подписи: sha1WithRSAEncryption
Эмитента: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Действия
Не ранее: 22 августа 2012 г., 05:27:41 GMT
Not After (Не после): 21 августа 2017 г., 05:27:41 GMT
Тема: C=JP, ST=Токио, O=Frank4DD, CN=www.example.com
Информация о публичном ключе субъекта:
            Алгоритм общедоступного ключа: rsaEncryption
Общедоступный ключ RSA. (2048 бит)
Модуль:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Экспоненты: 65537 (0x10001)
Алгоритм подписи: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Состояние сертификата
------------------
Контроллер: Состояние сертификата B: Предоставленный Заказчиком
Время создано: 2020-12-11 23:30:22
Текст сертификата: Сертификат:
    Data:
        Version: 1 (0x0)
Серийный номер: 3580 (0xdfc)
Алгоритм подписи: sha1WithRSAEncryption
Эмитента: C=JP, ST=Tokyo, L=Chuo-ku, O=Frank4DD, OU=WebCert Support, CN=Frank4DD Web CA/emailAddress=support@frank4dd.com
Действия
Не ранее: 22 августа 2012 г., 05:27:41 GMT
Not After (Не после): 21 августа 2017 г., 05:27:41 GMT
Тема: C=JP, ST=Токио, O=Frank4DD, CN=www.example.com
Информация о публичном ключе субъекта:
            Алгоритм общедоступного ключа: rsaEncryption
Общедоступный ключ RSA. (2048 бит)
Модуль:
                    00:b4:cf:d1:5e:33:29:ec:0b:cf:ae:76:f5:fe:2d:
                    c8:99:c6:78:79:b9:18:f8:0b:d4:ba:b4:d7:9e:02:
                    52:06:09:f4:18:93:4c:d4:70:d1:42:a0:29:13:92:
                    73:50:77:f6:04:89:ac:03:2c:d6:f1:06:ab:ad:6c:
                    c0:d9:d5:a6:ab:ca:cd:5a:d2:56:26:51:e5:4b:08:
                    8a:af:cc:19:0f:25:34:90:b0:2a:29:41:0f:55:f1:
                    6b:93:db:9d:b3:cc:dc:ec:eb:c7:55:18:d7:42:25:
                    de:49:35:14:32:92:9c:1e:c6:69:e3:3c:fb:f4:9a:
                    f8:fb:8b:c5:e0:1b:7e:fd:4f:25:ba:3f:e5:96:57:
                    9a:24:79:49:17:27:d7:89:4b:6a:2e:0d:87:51:d9:
                    23:3d:06:85:56:f8:58:31:0e:ee:81:99:78:68:cd:
                    6e:44:7e:c9:da:8c:5a:7b:1c:bf:24:40:29:48:d1:
                    03:9c:ef:dc:ae:2a:5d:f8:f7:6a:c7:e9:bc:c5:b0:
                    59:f6:95:fc:16:cb:d8:9c:ed:c3:fc:12:90:93:78:
                    5a:75:b4:56:83:fa:fc:41:84:f6:64:79:34:35:1c:
                    ac:7a:85:0e:73:78:72:01:e7:24:89:25:9e:da:7f:
                    65:bc:af:87:93:19:8c:db:75:15:b6:e0:30:c7:08:
                    f8:59
Экспоненты: 65537 (0x10001)
Алгоритм подписи: sha1WithRSAEncryption
40:cb:fe:04:5b:c6:74:c5:73:91:06:90:df:ff:b6:9e:85:73:
         fe:e0:0a:6f:3a:44:2f:cc:53:73:16:32:3f:79:64:39:e8:78:
         16:8c:62:49:6a:b2:e6:91:85:00:b7:4f:38:da:03:b9:81:69:
         2e:18:c9:49:96:84:c2:eb:e3:23:f4:eb:ac:68:4b:57:5a:51:
         1b:d7:eb:c0:31:6c:86:a0:f6:55:a8:f8:10:d0:42:06:1e:94:
         a5:e0:68:a7:9f:b6:f3:9c:d0:e1:22:3b:ab:85:3d:a1:27:9b:
         50:32:62:b8:ec:7a:fa:d6:7d:2b:29:e6:ad:b2:69:4d:28:b4:
         f8:13


Успех: Command completed successfully. (2020-12-11 23:36:41)
#