注：非專業(yè)人士勿自行操作，請咨詢DellEMC客服服務(wù)團隊，否則后果自負(fù)。

更新證書

第一次配置VPLEX時，它創(chuàng)建兩個數(shù)字證書和一個CA證書:

·所有集群通用的證書頒發(fā)機構(gòu)(CA)證書

·VPN主機證書

·Web服務(wù)器主機證書

?

所有類型的證書都會到期，必須定期更新，以維護對VPLEX的訪問。默認(rèn)情況下:

·CA證書必須每5年更新一次

·主機證書必須每兩年更新一次

?

注意: 主機和 Web 服務(wù)器主機的 VPLEX 安全證書在 VPN 主機之前到期并且 VPN 鏈接斷開、用戶無法訪問或查看遠(yuǎn)程群集和桌面解決方案時，將使用此知識庫由于鏈路斷開，集群之間的 VPN 已關(guān)閉（僅限 VPLEX Metro/Geo），因此更新證書失敗。

更新安全證書

查看vpn狀態(tài)

確定哪個集群創(chuàng)建了群集見證主機證書

security renew-all-certificates CLI命令在每個集群上執(zhí)行兩次。當(dāng)部署了VPLEX Witness時，該命令必須首先在創(chuàng)建VPLEX Witness安全證書的集群上執(zhí)行(在配置cluster Witness VPN時)。要確定證書創(chuàng)建的位置:

使用當(dāng)前的密碼短語更新

在第一個集群

運行security renew-all-certificates命令

輸入y，系統(tǒng)提示如下:

接下來的步驟取決于VPLEX找到的當(dāng)前密碼短語的數(shù)量。

如果VPLEX找到了除VPLEX Witness證書外的所有證書的當(dāng)前密碼短語，則會提示您只輸入VPLEX Witness證書的密碼短語。例如:

如果VPLEX沒有找到其他密碼短語，則會顯示輸入這些密碼短語的提示。在下面的例子中，VPLEX找不到任何密碼短語:

在第二個集群

運行security renew-all-certificate

輸入y，系統(tǒng)顯示如下提示信息:

輸入y。系統(tǒng)顯示如下提示信息:

輸入y。

以下步驟取決于VPLEX找到的當(dāng)前密碼短語的數(shù)量。

如果VPLEX找到所有證書的當(dāng)前密碼短語，系統(tǒng)將提示您只輸入遠(yuǎn)端集群上CA證書的密碼短語。例如:

如果VPLEX沒有找到其他密碼，則提示輸入另一個集群上的服務(wù)帳戶密碼，并顯示該密碼。在下面的例子中，VPLEX找不到任何密碼短語:

使用新的密碼短語更新

在第一個集群

運行security renew-all-certificates命令

系統(tǒng)提示如下:

輸入y。系統(tǒng)顯示如下提示信息:

輸入n.顯示如下提示信息:

輸入用于更新所有證書的通用密碼短語。系統(tǒng)提示如下:

重新輸入公共密碼。系統(tǒng)顯示如下信息:

在第二個集群

運行security renew-all-certificates命令

輸入y。系統(tǒng)顯示如下提示信息:

輸入y。系統(tǒng)顯示如下提示信息:

輸入n.顯示如下提示信息:

鍵入要用于所有證書的密碼短語。系統(tǒng)提示如下:

重新輸入密碼。系統(tǒng)提示如下:

輸入第一個集群中創(chuàng)建的證書頒發(fā)機構(gòu)密碼。系統(tǒng)提示如下:

重新輸入密碼。系統(tǒng)顯示如下信息:

驗證VPLEX Witness狀態(tài)

手動重新創(chuàng)建安全證書

用戶忘記證書密碼:

有四種情況下，用戶可能忘記了證書密碼:

在創(chuàng)建主機證書時。

同時創(chuàng)建web服務(wù)器主機證書。

在從管理服務(wù)器配置到群集見證服務(wù)器的VPN時。

在管理服務(wù)器之間配置VPN時，用戶忘記了本地主機證書的密碼。

?

按照以下步驟糾正此問題。即使在遵循以下步驟之后，如果問題仍然存在，請聯(lián)系您的本地服務(wù)代表獲得技術(shù)支持，并引用本文ID。如果無法提供本地服務(wù)代表，請聯(lián)系EMC客戶支持中心。

?

證書即將到期或已到期:

這個知識庫還可以在任何證書即將到期*或已到期時使用。按照以下步驟同時更新所有證書。

?

*注:如果你收到一份電子郵件警報,證書將在七天內(nèi)到期,或一個月,這期間沒有通過第一次跟隨VPLEX覆蓋的操作過程“更新安全證書”,可以發(fā)現(xiàn)在VPLEX過程發(fā)電機解決桌面或解決網(wǎng)上, VPLEX Procedures > Administration procedures > Manage > Renew security certificates

一定要選擇應(yīng)用于VPLEX配置的過程，如果在VPLEX上配置了Cluster Witness，則使用該過程。

?

如果在嘗試遵循過程中的操作之后無法更新證書，那么根據(jù)VPLEX上運行的代碼版本，按照此KB中的適當(dāng)部分重新創(chuàng)建安全證書。

?

VPN證書必須手動重新創(chuàng)建:

當(dāng)任何證書即將到期或已經(jīng)到期時，也可以使用這個KB。按照以下步驟同時更新所有證書，并恢復(fù)VPN隧道。

?

解決方案提供了以上提到的每個場景的解決方案:

如果用戶忘記了CA密碼，則用戶別無選擇，只能重新創(chuàng)建所有證書，并在VPLEX Metro或Geo配置的情況下重新建立VPN。使用以下步驟重新創(chuàng)建密碼短語。一旦創(chuàng)建了新的口令，就記錄下來:

這個過程根據(jù)VPLEX運行的地質(zhì)同步版本分成幾個部分，后面還有一個關(guān)于cluster-witness的部分。

?

注意:如果你運行的是5.5.x之前的任何地球同步代碼版本，這些版本是使用壽命結(jié)束(EOSL)，不再支持。重建后的安全證書請計劃升級你的VPLEX至少最新的目標(biāo)代碼,6.0 SP1 P7,或最新的代碼發(fā)布,以確保您正在運行的最新版本支持的代碼會讓你修復(fù)、增強和固定的安全漏洞,自您當(dāng)前正在運行的代碼被釋放,你會從中受益。

Section-A: GeoSynchrony 5.0.x and 5.1.x code levels (requires root password, must be performed by support)

Section-B: GeoSynchrony 5.2.x code levels (requires root password, must be performed by support)

Section-C: GeoSynchrony 5.3.x and 5.4.x code levels

Section-D: GeoSynchrony 5.5.x and 6.x code levels

Section-E: Cluster-Witness

?

對于5.0x到5.4x代碼級別：

注意：
如果在 VPLEX Local 上執(zhí)行此過程，則執(zhí)行除步驟 #1、#4、#8、#9之外的所有步驟，并忽略“兩個群集”的注釋
1. 在兩個群集上的 VPlexcli 中（VPLEX Local跳過)：

vpn stop

2. 在兩個集群上的 VPlexcli 中（VPLEX Local需要）：

security delete-ca-certificate
security delete-host-certificate
security delete-host-certificate -o webServerHostCertFile.pem -f webServerHostkeyFile.pem

3.只在Cluster-1 VPlexcli（VPLEX Local需要）：

security create-ca-certificate

4.在管理服務(wù)器提示符下只有Cluster-1（VPLEX Local跳過）：

scp /etc/ipsec.d/cacerts/strongswanCert.pem service@<Cluster-2-IP>:/etc/ipsec.d/cacerts

scp /etc/ipsec.d/private/strongswanKey.pem service@<Cluster-2-IP>:/etc/ipsec.d/private

?

5.在管理服務(wù)器提示符下的兩個群集上（VPLEX Local 需要）：

sudo /usr/java/jre1.6.0_03/bin/keytool -delete -alias ROOT -keystore /usr/java/jre1.6.0_03/lib/security/cacerts -storetype jks -storepass changeit

sudo /usr/java/jre1.6.0_03/bin/keytool -importcert -file /etc/ipsec.d/cacerts/strongswanCert.pem -alias ROOT -keystore /usr/java/jre1.6.0_03/lib/security/cacerts -storetype jks -storepass changeit -noprompt

?

注意：如果在運行上述命令后，您收到消息“alias vplex.root does not exist”，請忽略并繼續(xù)下一步。此消息的含義是第一次創(chuàng)建密碼短語時未創(chuàng)建 java 密鑰庫文件。

?

6.在 VPlexcli 中的兩個集群上（VPLEX Local 需要）：

security create-host-certificate
security create-host-certificate -o webServerHostCertFile.pem -f webServerHostkeyFile.pem

7. 在此步驟中，確保您處于管理服務(wù)器
/home/service的“home”提示級別。要從提示符輸入“cd”，然后檢查您是否在“home”提示符下，輸入“pwd”，您應(yīng)該看到列出的“/home/service”，例如：

要返回主頁提示：

service@ManagementService:/var/log/VPlex/cli>cd
service@ManagementService:~>

?

然后確保您在主頁提示下：

service@ManagementService:~>pwd
/home/service???? << 表示您正處于此步驟的 home 提示符
service@ManagementService:~>

現(xiàn)在，按照下一步行動：在這兩個集群在管理服務(wù)器的家提示符（需要VPLEX本地）：

/opt/emc/VPlex/tools/utils/JKSsetup.pl
sudo /etc/init.d/VPlexManagementConsole restart

8.VPlexcli 中的兩個集群，首先是集群 1，然后是集群 2（VPLEX Local跳過）：

security ipsec-configure -i <遠(yuǎn)程管理服務(wù)器的IP地址>
vpn start

9.在 VPlexcli 中的兩個集群上（VPLEX Local跳過）：

vpn status

確認(rèn) VPN 已完全建立。檢查遠(yuǎn)程管理服務(wù)器是否可訪問、IPSEC 是否已啟動、遠(yuǎn)程網(wǎng)關(guān)是否可訪問以及集群見證服務(wù)器是否可訪問。示例輸出：

VPlexcli:/>vpn status
Verifying the VPN status between the management servers...
IPSEC is UP <--
Remote Management Server at IP Address 10.241.164.241 is reachable <--
Remote Internal Gateway addresses are reachable <--

?

檢查管理服務(wù)器和集群見證服務(wù)器之間的VPN狀態(tài)…

IPSEC is UP <--
Cluster Witness Server at IP Address 128.221.254.3 is reachable <--

如果128.221.254.3無法訪問，請繼續(xù)訪問Section- e的“Cluster-Witness Section”，如果不是，請在此停止，因為程序已經(jīng)完成。

?

對于5.5x和6.0x代碼級別：

注意：
如果在 VPLEX Local 上執(zhí)行此過程，則執(zhí)行除步驟 #1、#4、#5 之外的每個步驟，并忽略“兩個集群”的注釋

1. 在兩個集群上的 VPlexcli 中（VPLEX Local跳過）：

示例：VPlexcli:/>vpn stop

2. 在兩個集群上的 VPlexcli 中（VPLEX Local 需要）：

security delete-ca-certificate
security delete-host-certificate
security delete-host-certificate -o webServerHostCertFile.pem -f webServerHostkeyFile.pem

3.VPlexcli 中的兩個集群，首先是 cluster-1（（VPLEX Local需要），然后是 cluster-2

security configure-certificates

注意：如果你運行這個命令并接收有關(guān)證書錯誤已經(jīng)存在，請“'exit”到管理服務(wù)器的提示，可以在命令刪除舊的過時的證書，如下所示，然后重試步驟＃3：

rm /etc/ipsec.d/*/*pem*

4.VPlexcli 中的兩個集群，先是集群 1，然后是集群 2（VPLEX Local跳過）：

security ipsec-configure -i <遠(yuǎn)程管理服務(wù)器的IP地址>
vpn start

5.在 VPlexcli 中的兩個集群上（VPLEX Local跳過):

vpn status

確認(rèn) VPN 已完全建立。檢查遠(yuǎn)程管理服務(wù)器是否可訪問、IPSEC 是否已啟動、遠(yuǎn)程網(wǎng)關(guān)是否可訪問以及集群見證服務(wù)器是否可訪問。示例輸出：

VPlexcli:/>vpn status
Verifying the VPN status between the management servers...
IPSEC is UP <--
Remote Management Server at IP Address10.241.164.241is reachable <--
Remote Internal Gateway addresses are reachable <--

正在驗證管理服務(wù)器和集群見證服務(wù)器之間的 VPN 狀態(tài)...
IPSEC 已啟動 <--
IP 上的集群見證服務(wù)器地址128.221.254.3可達(dá) <--

如果 128.221.254.3 不可達(dá)，則繼續(xù)執(zhí)行 Section-E“Cluster-Witness Section”，如果沒有則停止，因為程序已完成。

Cluster Witness

如果Cluster-Witness已部署，僅VPLEX Metro。

?

1.要找到cluster-witness的公共IP，運行以下VPlexcli命令:

VPlexcli:/> ll /cluster-witness/

·?????? 樣例輸出

/cluster-witness:

Attributes:

Name??????????????? Value

------------------????????? -------------

admin-state?????????? unknown

private-ip-address???? 128.221.254.3

public-ip-address????? XX.XX.XX.XX <<< Cluster-Witness public IP

?

2. SSH到集群的公共IP見證

service@ManagementServer:~> ssh <cluster-witness-public-IP>

·?????? 樣例輸出

service@ManagementServer:~> ssh xx.xx.xx.xx

Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of knownhosts.

Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx

service@ClusterWitness:~>

?

3.檢查cluster-witness的主機密鑰密碼

集群見證主機密鑰密碼可能與管理服務(wù)器不同。請用以下命令檢查:

service@cluster-witness:~> tail -1 /etc/ipsec.secrets

·?????? 樣例輸出

service@cluster-witness:~> tail -1 /etc/ipsec.secrets

: RSA hostKey.pem strongswan <--本例中的口令是strongswan

記住這個值，因為在運行步驟5時需要它。如果密碼在" "之間，不要包含它們。

?

4. 刪除集群見證服務(wù)器上的四個證書文件，如下所示:

service@cluster-witness:~> rm /etc/ipsec.d/*/*pem

注意:如果您首先想查看您將要刪除的所有的*pem文件，請運行命令ll /etc/ipsec.d/* */* *

·?????? 樣例輸出

service@ClusterWitness:~> ll /etc/ipsec.d/*/*pem

-rw-r--r-- 1 service users 1655 Mar 1 05:49 /etc/ipsec.d/cacerts

/strongswanCert.pem

-rw-r--r-- 1 service users 4620 Mar 1 05:49

/etc/ipsec.d/certs/hostCert.pem

-rw-r--r-- 1 service users 1751 Mar 1 05:49

/etc/ipsec.d/private/hostKey.pem

-rw-r--r-- 1 service users 1743 Mar 1 05:49

/etc/ipsec.d/private/strongswanKey.pem

?

5. 在兩個集群上運行以下VPlexcli命令:

首先來自Cluster-1中的Vplexcli

VPlexcli:/>configuration cw-vpn-configure –i cluster-witness-public-IP –force

然后是來自集群2中的Vplexcli

VPlexcli:/>configuration cw-vpn-configure –i cluster-witness-public-IP –force

*注意:請務(wù)必注意提示口令。您將被要求提供管理服務(wù)器密碼和集群見證密碼。這些可能是不同的。輸入不正確的值可能導(dǎo)致VPN無法建立

?

6. 在兩個集群上運行“vpn status”并確認(rèn)vpn完全建立。檢查遠(yuǎn)程管理服務(wù)器是否可訪問，IPSEC是否啟動，遠(yuǎn)程網(wǎng)關(guān)是否可訪問，群集見證服務(wù)器是否可訪問。

·?????? 樣例輸出

VPlexcli:/> vpn status

Verifying the VPN status between the management servers...

IPSEC is UP <--

Remote Management Server at IP Address xx.xx.xx.xxis reachable <--

Remote Internal Gateway addresses are reachable <--

?

7. 驗證管理服務(wù)器和集群見證服務(wù)器之間的VPN狀態(tài)。

IPSEC is UP <--

Cluster Witness Server at IP Address 128.221.254.3 is reachable <--

?

8. 在兩個集群上運行以下VPlexcli命令:

ll cluster-witness

·?????? 樣例輸出

VPlexcli:/> ll cluster-witness

/cluster-witness:

Attributes:

Name Value

------------------ -------------

admin-state disabled <--

private-ip-address 128.221.254.3

public-ip-address XX.XX.XX.XX <--

Contexts:

Name Description

---------- --------------------------

components Cluster Witness Components

9. 通過在兩個集群上運行以下cli命令來啟用和驗證集群見證

VPlexcli:/> cluster-witness enable

VPlexcli:/> ll cluster-witness

?