Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: START » Аппаратное обеспечение Hewlett-Packard » Замена само-подписанного SSL-сертификата на СХД HPE ЗPAR 7200
hewlett-packard:replacing-self-signed-ssl-certificate-to-domain-ca-signed-on-storage-hp-hpe-zpar-7200

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия		Предыдущая версия
hewlett-packard:replacing-self-signed-ssl-certificate-to-domain-ca-signed-on-storage-hp-hpe-zpar-7200 [17.03.2018 19:44] – [Доверие к сертификату в HPE 3PAR StoreServ Management Console] Алексей Максимовhewlett-packard:replacing-self-signed-ssl-certificate-to-domain-ca-signed-on-storage-hp-hpe-zpar-7200 [25.08.2021 12:39] (текущий) Алексей Максимов
Строка 1: Строка 1:
 ===== Замена само-подписанного SSL-сертификата на СХД HPE ЗPAR 7200 ===== ===== Замена само-подписанного SSL-сертификата на СХД HPE ЗPAR 7200 =====
  
-Действующий цифровой сертификат, установленный на СХД **HPE ЗPAR 7200** может потребоваться в случае необходимости подключения к СХД консолями администрирования. И если Windows-консоль **HP 3PAR Management Console** (**InFormMC**) позволяет подключиться к СХД при условии того, что срок действия сертификата истёк, то новая веб-консоль из продукта **HPE 3PAR StoreServ Management Console Server** (**SSMC**) уже не даст подключиться к СХД и потребует наличия валидного сертификата на СХД.+{{:hewlett-packard:pasted:20180317-203350.png }} Действующий цифровой сертификат, установленный на СХД **HPE ЗPAR 7200** может потребоваться в случае необходимости подключения к СХД консолями администрирования. И если консоль **HP 3PAR Management Console** (**InFormMC**), представляющая собой отдельное приложение на платформах Windows и Linux, позволяет подключиться к СХД при условии того, что срок действия сертификата истёк, то модерновая веб-консоль из продукта **HPE 3PAR StoreServ Management Console Server** (**SSMC**) уже не даст подключиться к СХД и потребует наличия валидного сертификата на СХД.
  
 +\\
 ==== Получаем текущую информацию ====  ==== Получаем текущую информацию ==== 
  
Строка 40: Строка 41:
 Как видно из нашего примера, сертификат просрочен, так как срок его действия кончился ''21.10.2017'' Как видно из нашего примера, сертификат просрочен, так как срок его действия кончился ''21.10.2017''
  
- +\\ 
-==== Создаём CSR-запрос на сертификат ==== +==== Создаём CSR-запрос ==== 
  
  
Строка 77: Строка 78:
  -C "RU" -ST "KOMI" -L "Syktyvkar" -O "IT Ltd." -OU "KOMI Branch" `  -C "RU" -ST "KOMI" -L "Syktyvkar" -O "IT Ltd." -OU "KOMI Branch" `
  -CN "3PAR01.holding.com"</pre></HTML>  -CN "3PAR01.holding.com"</pre></HTML>
 +
 +Если требуется SAN-сертификат (с поддержкой альтернативных имён), то формат запроса будет содержать дополнительную опцию:
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">% createcert unified-server -csr -keysize 2048 `
 + -C "RU" -ST "KOMI" -L "Syktyvkar" -O "IT Ltd." -OU "KOMI Branch" `
 + -CN "3PAR01.holding.com" `
 + -SAN DNS:3PAR01.holding.com,IP:10.10.2.100</pre></HTML>
  
 В ответ утилита отдаст нам содержимое запроса, сохранив в СХД закрытый ключ, связанный с занным запросом:  В ответ утилита отдаст нам содержимое запроса, сохранив в СХД закрытый ключ, связанный с занным запросом: 
Строка 113: Строка 121:
 Сохраняем данное содержимое в текстовый файл с расширением **CSR** и передаём администратору Центра сертификации для получения сертификата Сохраняем данное содержимое в текстовый файл с расширением **CSR** и передаём администратору Центра сертификации для получения сертификата
  
 +\\
 ==== Получаем PEM-сертификат из ЦС ====  ==== Получаем PEM-сертификат из ЦС ==== 
  
Строка 133: Строка 141:
 В этой-же кодировке нам потребуется корневой сертификат ЦС. Если таких сертификатов несколько, то потребуются все сертификаты ЦС в цепочке до самого верхнего уровня.  В этой-же кодировке нам потребуется корневой сертификат ЦС. Если таких сертификатов несколько, то потребуются все сертификаты ЦС в цепочке до самого верхнего уровня. 
  
 +\\
 ==== Импортируем корневые сертификаты ====  ==== Импортируем корневые сертификаты ==== 
  
Строка 181: Строка 190:
  
  
- +\\
- +
- +
 ==== Импортируем сертификат для СХД ====  ==== Импортируем сертификат для СХД ==== 
  
Строка 231: Строка 237:
 Сертификаты установлены. Однако это не всё. Сертификаты установлены. Однако это не всё.
  
 +\\
 ==== Доверие к сертификату в HP 3PAR Management Console ====  ==== Доверие к сертификату в HP 3PAR Management Console ==== 
- 
  
 После установки на СХД сертификата, выданного каким-либо ЦС (не само-подписанного), мы можем столкнуться с проблемой при использовании некоторых инструментов управления СХД. Например, при попытке подключиться к СХД с помощью консоли **HP 3PAR Management Console** на платформе Windows, мы получим ошибку: ''Please upload a valid CA certificate under /InFormMC/security После установки на СХД сертификата, выданного каким-либо ЦС (не само-подписанного), мы можем столкнуться с проблемой при использовании некоторых инструментов управления СХД. Например, при попытке подключиться к СХД с помощью консоли **HP 3PAR Management Console** на платформе Windows, мы получим ошибку: ''Please upload a valid CA certificate under /InFormMC/security
 '' ''
-скрин+{{ :hewlett-packard:pasted:20180317-200922.png }}
  
 Проблема заключается в том, что теперь сертификат корневого ЦС нужно добавить в профиль текущего пользователя Windows в специальный файл в формате **Java Keystore** c именем **HP-3PAR-MC-TrustStore**, расположенный в каталоге:  Проблема заключается в том, что теперь сертификат корневого ЦС нужно добавить в профиль текущего пользователя Windows в специальный файл в формате **Java Keystore** c именем **HP-3PAR-MC-TrustStore**, расположенный в каталоге: 
Строка 248: Строка 254:
 Обратите внимание на то, что при подключении к СХД мы должны указывать именно то имя, которое указано в ранее созданном нами сертификате, Обратите внимание на то, что при подключении к СХД мы должны указывать именно то имя, которое указано в ранее созданном нами сертификате,
  
-скрин+{{ :hewlett-packard:pasted:20180317-201108.png }}
  
-В случае успешного подключения к СХД мы получим информационное сообщение с предложением принять полученный от СХД сертификат.После нажатия **ОК** новый сертификат СХД будет автоматически добавлен в локальное хранилище доверенных сертификатов (''C:\Users\<UserName>\InFormMC\security\HP-3PAR-MC-TrustStore''). А все последующие подключения с использованием **SSL** будут выполняться без каких-то дополнительных сообщений.+В случае успешного подключения к СХД мы получим информационное сообщение с предложением принять полученный от СХД сертификат.
  
-==== Доверие к сертификату в HPE 3PAR StoreServ Management Console ==== +{{ :hewlett-packard:pasted:20180317-201915.png }}
  
 +После нажатия **ОК** новый сертификат СХД будет автоматически добавлен в локальное хранилище доверенных сертификатов (''C:\Users\<UserName>\InFormMC\security\HP-3PAR-MC-TrustStore''). А все последующие подключения с использованием **SSL** будут выполняться без каких-то дополнительных сообщений.
 +
 +\\
 +==== Доверие к сертификату в HPE 3PAR StoreServ Management Console ==== 
  
 Веб-консоль **HPE 3PAR StoreServ Management Console** (**SSMC**), которая сейчас позиционируется как основной базовы инструмент управления СХД 3PAR, устроена таким образом, что в случае недоверия к сертификату СХД, подключение будет безуспешным. Веб-консоль **HPE 3PAR StoreServ Management Console** (**SSMC**), которая сейчас позиционируется как основной базовы инструмент управления СХД 3PAR, устроена таким образом, что в случае недоверия к сертификату СХД, подключение будет безуспешным.
 На странице входа веб-консоли SSMC войдём в режим **Administrator Console**, установив соответствующий чекбокс в форме входа На странице входа веб-консоли SSMC войдём в режим **Administrator Console**, установив соответствующий чекбокс в форме входа
  
-Скрины+{{ :hewlett-packard:pasted:20180317-202006.png }} 
 + 
 +В этом режиме мы увидим то, что подключение SSMC к СХД не произведено, так как не прошла проверка сертификата из-за отсутствия сертификата корневого ЦС.  
 + 
 +{{ :hewlett-packard:pasted:20180317-202047.png }} 
 + 
 +Перейдя в меню **Actions** > **Manage certificates**, добавим содержимое PEM-сертификата ЦС, и нажмём **Validate**
  
 +{{ :hewlett-packard:pasted:20180317-202452.png }}
  
 +После успешной проверки сертификата ЦС, он будет добавлен в хранилище SSMC, после проверка сертификата, предоставляемого СХД должна пройти успешно и безопасное SSL-подключение па порт **5783** к СХД должно заработать: 
  
 +{{ :hewlett-packard:pasted:20180317-202701.png }}
  
 ---- ----
Строка 267: Строка 286:
 ^ Версия 3PAR OS ^ ^ Версия 3PAR OS ^
 | 3.2.2 (MU3) | | 3.2.2 (MU3) |
 +| 3.3.1 (MU5) |
  
 ---- ----
 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 16.03.2018 20:25 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 16.03.2018 20:25
-{{tag>HP HPE 3PAR "3PAR 7200" Storage InFormMC "Management Console" "3PAR Management Console" "3PAR StoreServ Management Console" SSMC}}+{{tag>HP HPE 3PAR "3PAR 7200" Storage InFormMC "Management Console" "3PAR Management Console" "3PAR StoreServ Management Console" SSMC SSL Certificate Security}}
 ~~DISCUSSION~~ ~~DISCUSSION~~
hewlett-packard/replacing-self-signed-ssl-certificate-to-domain-ca-signed-on-storage-hp-hpe-zpar-7200.1521305082.txt.gz · Последнее изменение: Алексей Максимов
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki