Различия

Показаны различия между двумя версиями страницы.

--- hewlett-packard:replacing-self-signed-ssl-certificate-to-domain-ca-signed-on-storage-hp-hpe-zpar-7200 [17.03.2018 19:50] – [Замена само-подписанного SSL-сертификата на СХД HPE ЗPAR 7200] Алексей Максимов
+++ hewlett-packard:replacing-self-signed-ssl-certificate-to-domain-ca-signed-on-storage-hp-hpe-zpar-7200 [25.08.2021 12:39] (текущий) – Алексей Максимов
@@ Строка 1: / Строка 1: @@
 ===== Замена само-подписанного SSL-сертификата на СХД HPE ЗPAR 7200 =====
-Действующий цифровой сертификат, установленный на СХД **HPE ЗPAR 7200** может потребоваться в случае необходимости подключения к СХД консолями администрирования. И если консоль **HP 3PAR Management Console** (**InFormMC**), представляющая собой отдельное приложение на платформах Windows и Linux, позволяет подключиться к СХД при условии того, что срок действия сертификата истёк, то модерновая веб-консоль из продукта **HPE 3PAR StoreServ Management Console Server** (**SSMC**) уже не даст подключиться к СХД и потребует наличия валидного сертификата на СХД.
+{{:hewlett-packard:pasted:20180317-203350.png }} Действующий цифровой сертификат, установленный на СХД **HPE ЗPAR 7200** может потребоваться в случае необходимости подключения к СХД консолями администрирования. И если консоль **HP 3PAR Management Console** (**InFormMC**), представляющая собой отдельное приложение на платформах Windows и Linux, позволяет подключиться к СХД при условии того, что срок действия сертификата истёк, то модерновая веб-консоль из продукта **HPE 3PAR StoreServ Management Console Server** (**SSMC**) уже не даст подключиться к СХД и потребует наличия валидного сертификата на СХД.
 \\
@@ Строка 78: / Строка 78: @@
  -C "RU" -ST "KOMI" -L "Syktyvkar" -O "IT Ltd." -OU "KOMI Branch" `
  -CN "3PAR01.holding.com"</pre></HTML>
+Если требуется SAN-сертификат (с поддержкой альтернативных имён), то формат запроса будет содержать дополнительную опцию:
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">% createcert unified-server -csr -keysize 2048 `
+ -C "RU" -ST "KOMI" -L "Syktyvkar" -O "IT Ltd." -OU "KOMI Branch" `
+ -CN "3PAR01.holding.com" `
+ -SAN DNS:3PAR01.holding.com,IP:10.10.2.100</pre></HTML>
 В ответ утилита отдаст нам содержимое запроса, сохранив в СХД закрытый ключ, связанный с занным запросом:
@@ Строка 235: / Строка 242: @@
 После установки на СХД сертификата, выданного каким-либо ЦС (не само-подписанного), мы можем столкнуться с проблемой при использовании некоторых инструментов управления СХД. Например, при попытке подключиться к СХД с помощью консоли **HP 3PAR Management Console** на платформе Windows, мы получим ошибку: ''Please upload a valid CA certificate under /InFormMC/security
 ''
-скрин
+{{ :hewlett-packard:pasted:20180317-200922.png }}
 Проблема заключается в том, что теперь сертификат корневого ЦС нужно добавить в профиль текущего пользователя Windows в специальный файл в формате **Java Keystore** c именем **HP-3PAR-MC-TrustStore**, расположенный в каталоге:
@@ Строка 247: / Строка 254: @@
 Обратите внимание на то, что при подключении к СХД мы должны указывать именно то имя, которое указано в ранее созданном нами сертификате,
-скрин
+{{ :hewlett-packard:pasted:20180317-201108.png }}
-В случае успешного подключения к СХД мы получим информационное сообщение с предложением принять полученный от СХД сертификат.После нажатия **ОК** новый сертификат СХД будет автоматически добавлен в локальное хранилище доверенных сертификатов (''C:\Users\<UserName>\InFormMC\security\HP-3PAR-MC-TrustStore''). А все последующие подключения с использованием **SSL** будут выполняться без каких-то дополнительных сообщений.
+В случае успешного подключения к СХД мы получим информационное сообщение с предложением принять полученный от СХД сертификат.
+{{ :hewlett-packard:pasted:20180317-201915.png }}
+После нажатия **ОК** новый сертификат СХД будет автоматически добавлен в локальное хранилище доверенных сертификатов (''C:\Users\<UserName>\InFormMC\security\HP-3PAR-MC-TrustStore''). А все последующие подключения с использованием **SSL** будут выполняться без каких-то дополнительных сообщений.
 \\
@@ Строка 257: / Строка 268: @@
 На странице входа веб-консоли SSMC войдём в режим **Administrator Console**, установив соответствующий чекбокс в форме входа
-Скрины
+{{ :hewlett-packard:pasted:20180317-202006.png }}
+В этом режиме мы увидим то, что подключение SSMC к СХД не произведено, так как не прошла проверка сертификата из-за отсутствия сертификата корневого ЦС.
+{{ :hewlett-packard:pasted:20180317-202047.png }}
+Перейдя в меню **Actions** > **Manage certificates**, добавим содержимое PEM-сертификата ЦС, и нажмём **Validate**
+{{ :hewlett-packard:pasted:20180317-202452.png }}
+После успешной проверки сертификата ЦС, он будет добавлен в хранилище SSMC, после проверка сертификата, предоставляемого СХД должна пройти успешно и безопасное SSL-подключение па порт **5783** к СХД должно заработать:
+{{ :hewlett-packard:pasted:20180317-202701.png }}
 ----
@@ Строка 266: / Строка 286: @@
 ^ Версия 3PAR OS ^
 | 3.2.2 (MU3) |
+| 3.3.1 (MU5) |
 ----
 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 16.03.2018 20:25
-{{tag>HP HPE 3PAR "3PAR 7200" Storage InFormMC "Management Console" "3PAR Management Console" "3PAR StoreServ Management Console" SSMC}}
+{{tag>HP HPE 3PAR "3PAR 7200" Storage InFormMC "Management Console" "3PAR Management Console" "3PAR StoreServ Management Console" SSMC SSL Certificate Security}}
 ~~DISCUSSION~~