[VPLEX]更新證書
注:非專業(yè)人士勿自行操作,請咨詢DellEMC客服服務(wù)團隊,否則后果自負(fù)。
更新證書
第一次配置VPLEX時,它創(chuàng)建兩個數(shù)字證書和一個CA證書:
·所有集群通用的證書頒發(fā)機構(gòu)(CA)證書
·VPN主機證書
·Web服務(wù)器主機證書
?
所有類型的證書都會到期,必須定期更新,以維護對VPLEX的訪問。默認(rèn)情況下:
·CA證書必須每5年更新一次
·主機證書必須每兩年更新一次
?
注意: 主機和 Web 服務(wù)器主機的 VPLEX 安全證書在 VPN 主機之前到期并且 VPN 鏈接斷開、用戶無法訪問或查看遠(yuǎn)程群集和桌面解決方案時,將使用此知識庫由于鏈路斷開,集群之間的 VPN 已關(guān)閉(僅限 VPLEX Metro/Geo),因此更新證書失敗。
更新安全證書
查看vpn狀態(tài)

確定哪個集群創(chuàng)建了群集見證主機證書
security renew-all-certificates CLI命令在每個集群上執(zhí)行兩次。當(dāng)部署了VPLEX Witness時,該命令必須首先在創(chuàng)建VPLEX Witness安全證書的集群上執(zhí)行(在配置cluster Witness VPN時)。要確定證書創(chuàng)建的位置:

使用當(dāng)前的密碼短語更新
在第一個集群
運行security renew-all-certificates命令

輸入y,系統(tǒng)提示如下:

接下來的步驟取決于VPLEX找到的當(dāng)前密碼短語的數(shù)量。
如果VPLEX找到了除VPLEX Witness證書外的所有證書的當(dāng)前密碼短語,則會提示您只輸入VPLEX Witness證書的密碼短語。例如:

如果VPLEX沒有找到其他密碼短語,則會顯示輸入這些密碼短語的提示。在下面的例子中,VPLEX找不到任何密碼短語:

在第二個集群
運行security renew-all-certificate

輸入y,系統(tǒng)顯示如下提示信息:

輸入y。系統(tǒng)顯示如下提示信息:

輸入y。
以下步驟取決于VPLEX找到的當(dāng)前密碼短語的數(shù)量。
如果VPLEX找到所有證書的當(dāng)前密碼短語,系統(tǒng)將提示您只輸入遠(yuǎn)端集群上CA證書的密碼短語。例如:

如果VPLEX沒有找到其他密碼,則提示輸入另一個集群上的服務(wù)帳戶密碼,并顯示該密碼。在下面的例子中,VPLEX找不到任何密碼短語:

使用新的密碼短語更新
在第一個集群
運行security renew-all-certificates命令

系統(tǒng)提示如下:

輸入y。系統(tǒng)顯示如下提示信息:

輸入n.顯示如下提示信息:

輸入用于更新所有證書的通用密碼短語。系統(tǒng)提示如下:

重新輸入公共密碼。系統(tǒng)顯示如下信息:

在第二個集群
運行security renew-all-certificates命令

輸入y。系統(tǒng)顯示如下提示信息:

輸入y。系統(tǒng)顯示如下提示信息:

輸入n.顯示如下提示信息:

鍵入要用于所有證書的密碼短語。系統(tǒng)提示如下:

重新輸入密碼。系統(tǒng)提示如下:

輸入第一個集群中創(chuàng)建的證書頒發(fā)機構(gòu)密碼。系統(tǒng)提示如下:

重新輸入密碼。系統(tǒng)顯示如下信息:

驗證VPLEX Witness狀態(tài)

手動重新創(chuàng)建安全證書
用戶忘記證書密碼:
有四種情況下,用戶可能忘記了證書密碼:
在創(chuàng)建主機證書時。
同時創(chuàng)建web服務(wù)器主機證書。
在從管理服務(wù)器配置到群集見證服務(wù)器的VPN時。
在管理服務(wù)器之間配置VPN時,用戶忘記了本地主機證書的密碼。
?
按照以下步驟糾正此問題。即使在遵循以下步驟之后,如果問題仍然存在,請聯(lián)系您的本地服務(wù)代表獲得技術(shù)支持,并引用本文ID。如果無法提供本地服務(wù)代表,請聯(lián)系EMC客戶支持中心。
?
證書即將到期或已到期:
這個知識庫還可以在任何證書即將到期*或已到期時使用。按照以下步驟同時更新所有證書。
?
*注:如果你收到一份電子郵件警報,證書將在七天內(nèi)到期,或一個月,這期間沒有通過第一次跟隨VPLEX覆蓋的操作過程“更新安全證書”,可以發(fā)現(xiàn)在VPLEX過程發(fā)電機解決桌面或解決網(wǎng)上, VPLEX Procedures > Administration procedures > Manage > Renew security certificates
一定要選擇應(yīng)用于VPLEX配置的過程,如果在VPLEX上配置了Cluster Witness,則使用該過程。
?
如果在嘗試遵循過程中的操作之后無法更新證書,那么根據(jù)VPLEX上運行的代碼版本,按照此KB中的適當(dāng)部分重新創(chuàng)建安全證書。
?
VPN證書必須手動重新創(chuàng)建:
當(dāng)任何證書即將到期或已經(jīng)到期時,也可以使用這個KB。按照以下步驟同時更新所有證書,并恢復(fù)VPN隧道。
?
解決方案提供了以上提到的每個場景的解決方案:
如果用戶忘記了CA密碼,則用戶別無選擇,只能重新創(chuàng)建所有證書,并在VPLEX Metro或Geo配置的情況下重新建立VPN。使用以下步驟重新創(chuàng)建密碼短語。一旦創(chuàng)建了新的口令,就記錄下來:
這個過程根據(jù)VPLEX運行的地質(zhì)同步版本分成幾個部分,后面還有一個關(guān)于cluster-witness的部分。
?
注意:如果你運行的是5.5.x之前的任何地球同步代碼版本,這些版本是使用壽命結(jié)束(EOSL),不再支持。重建后的安全證書請計劃升級你的VPLEX至少最新的目標(biāo)代碼,6.0 SP1 P7,或最新的代碼發(fā)布,以確保您正在運行的最新版本支持的代碼會讓你修復(fù)、增強和固定的安全漏洞,自您當(dāng)前正在運行的代碼被釋放,你會從中受益。
Section-A: GeoSynchrony 5.0.x and 5.1.x code levels (requires root password, must be performed by support)
Section-B: GeoSynchrony 5.2.x code levels (requires root password, must be performed by support)
Section-C: GeoSynchrony 5.3.x and 5.4.x code levels
Section-D: GeoSynchrony 5.5.x and 6.x code levels
Section-E: Cluster-Witness
?
對于5.0x到5.4x代碼級別:
注意:
如果在 VPLEX Local 上執(zhí)行此過程,則執(zhí)行除步驟 #1、#4、#8、#9之外的所有步驟,并忽略“兩個群集”的注釋
1. 在兩個群集上的 VPlexcli 中(VPLEX Local跳過):
vpn stop
2. 在兩個集群上的 VPlexcli 中(VPLEX Local需要):
security delete-ca-certificate
security delete-host-certificate
security delete-host-certificate -o webServerHostCertFile.pem -f webServerHostkeyFile.pem
3.只在Cluster-1 VPlexcli(VPLEX Local需要):
security create-ca-certificate
4.在管理服務(wù)器提示符下只有Cluster-1(VPLEX Local跳過):
scp /etc/ipsec.d/cacerts/strongswanCert.pem service@<Cluster-2-IP>:/etc/ipsec.d/cacerts
scp /etc/ipsec.d/private/strongswanKey.pem service@<Cluster-2-IP>:/etc/ipsec.d/private
?
5.在管理服務(wù)器提示符下的兩個群集上(VPLEX Local 需要):
sudo /usr/java/jre1.6.0_03/bin/keytool -delete -alias ROOT -keystore /usr/java/jre1.6.0_03/lib/security/cacerts -storetype jks -storepass changeit
sudo /usr/java/jre1.6.0_03/bin/keytool -importcert -file /etc/ipsec.d/cacerts/strongswanCert.pem -alias ROOT -keystore /usr/java/jre1.6.0_03/lib/security/cacerts -storetype jks -storepass changeit -noprompt
?
注意:如果在運行上述命令后,您收到消息“alias vplex.root does not exist”,請忽略并繼續(xù)下一步。此消息的含義是第一次創(chuàng)建密碼短語時未創(chuàng)建 java 密鑰庫文件。
?
6.在 VPlexcli 中的兩個集群上(VPLEX Local 需要):
security create-host-certificate
security create-host-certificate -o webServerHostCertFile.pem -f webServerHostkeyFile.pem
7. 在此步驟中,確保您處于管理服務(wù)器
/home/service的“home”提示級別。要從提示符輸入“cd”,然后檢查您是否在“home”提示符下,輸入“pwd”,您應(yīng)該看到列出的“/home/service”,例如:
要返回主頁提示:
service@ManagementService:/var/log/VPlex/cli>cd
service@ManagementService:~>
?
然后確保您在主頁提示下:
service@ManagementService:~>pwd
/home/service???? << 表示您正處于此步驟的 home 提示符
service@ManagementService:~>
現(xiàn)在,按照下一步行動:在這兩個集群在管理服務(wù)器的家提示符(需要VPLEX本地):
/opt/emc/VPlex/tools/utils/JKSsetup.pl
sudo /etc/init.d/VPlexManagementConsole restart
8.VPlexcli 中的兩個集群,首先是集群 1,然后是集群 2(VPLEX Local跳過):
security ipsec-configure -i <遠(yuǎn)程管理服務(wù)器的IP地址>
vpn start
9.在 VPlexcli 中的兩個集群上(VPLEX Local跳過):
vpn status
確認(rèn) VPN 已完全建立。檢查遠(yuǎn)程管理服務(wù)器是否可訪問、IPSEC 是否已啟動、遠(yuǎn)程網(wǎng)關(guān)是否可訪問以及集群見證服務(wù)器是否可訪問。示例輸出:
VPlexcli:/>vpn status
Verifying the VPN status between the management servers...
IPSEC is UP <--
Remote Management Server at IP Address 10.241.164.241 is reachable <--
Remote Internal Gateway addresses are reachable <--
?
檢查管理服務(wù)器和集群見證服務(wù)器之間的VPN狀態(tài)…
IPSEC is UP <--
Cluster Witness Server at IP Address 128.221.254.3 is reachable <--
如果128.221.254.3無法訪問,請繼續(xù)訪問Section- e的“Cluster-Witness Section”,如果不是,請在此停止,因為程序已經(jīng)完成。
?
對于5.5x和6.0x代碼級別:
注意:
如果在 VPLEX Local 上執(zhí)行此過程,則執(zhí)行除步驟 #1、#4、#5 之外的每個步驟,并忽略“兩個集群”的注釋
1. 在兩個集群上的 VPlexcli 中(VPLEX Local跳過):
示例:VPlexcli:/>vpn stop
2. 在兩個集群上的 VPlexcli 中(VPLEX Local 需要):
security delete-ca-certificate
security delete-host-certificate
security delete-host-certificate -o webServerHostCertFile.pem -f webServerHostkeyFile.pem
3.VPlexcli 中的兩個集群,首先是 cluster-1((VPLEX Local需要),然后是 cluster-2
security configure-certificates
注意:如果你運行這個命令并接收有關(guān)證書錯誤已經(jīng)存在,請“'exit”到管理服務(wù)器的提示,可以在命令刪除舊的過時的證書,如下所示,然后重試步驟#3:
rm /etc/ipsec.d/*/*pem*
4.VPlexcli 中的兩個集群,先是集群 1,然后是集群 2(VPLEX Local跳過):
security ipsec-configure -i <遠(yuǎn)程管理服務(wù)器的IP地址>
vpn start
5.在 VPlexcli 中的兩個集群上(VPLEX Local跳過):
vpn status
確認(rèn) VPN 已完全建立。檢查遠(yuǎn)程管理服務(wù)器是否可訪問、IPSEC 是否已啟動、遠(yuǎn)程網(wǎng)關(guān)是否可訪問以及集群見證服務(wù)器是否可訪問。示例輸出:
VPlexcli:/>vpn status
Verifying the VPN status between the management servers...
IPSEC is UP <--
Remote Management Server at IP Address10.241.164.241is reachable <--
Remote Internal Gateway addresses are reachable <--
正在驗證管理服務(wù)器和集群見證服務(wù)器之間的 VPN 狀態(tài)...
IPSEC 已啟動 <--
IP 上的集群見證服務(wù)器地址128.221.254.3可達(dá) <--
如果 128.221.254.3 不可達(dá),則繼續(xù)執(zhí)行 Section-E“Cluster-Witness Section”,如果沒有則停止,因為程序已完成。
Cluster Witness
如果Cluster-Witness已部署,僅VPLEX Metro。
?
1.要找到cluster-witness的公共IP,運行以下VPlexcli命令:
VPlexcli:/> ll /cluster-witness/
·?????? 樣例輸出
/cluster-witness:
Attributes:
Name??????????????? Value
------------------????????? -------------
admin-state?????????? unknown
private-ip-address???? 128.221.254.3
public-ip-address????? XX.XX.XX.XX <<< Cluster-Witness public IP
?
2. SSH到集群的公共IP見證
service@ManagementServer:~> ssh <cluster-witness-public-IP>
·?????? 樣例輸出
service@ManagementServer:~> ssh xx.xx.xx.xx
Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of knownhosts.
Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx
service@ClusterWitness:~>
?
3.檢查cluster-witness的主機密鑰密碼
集群見證主機密鑰密碼可能與管理服務(wù)器不同。請用以下命令檢查:
service@cluster-witness:~> tail -1 /etc/ipsec.secrets
·?????? 樣例輸出
service@cluster-witness:~> tail -1 /etc/ipsec.secrets
: RSA hostKey.pem strongswan <--本例中的口令是strongswan
記住這個值,因為在運行步驟5時需要它。如果密碼在" "之間,不要包含它們。
?
4. 刪除集群見證服務(wù)器上的四個證書文件,如下所示:
service@cluster-witness:~> rm /etc/ipsec.d/*/*pem
注意:如果您首先想查看您將要刪除的所有的*pem文件,請運行命令ll /etc/ipsec.d/* */* *
·?????? 樣例輸出
service@ClusterWitness:~> ll /etc/ipsec.d/*/*pem
-rw-r--r-- 1 service users 1655 Mar 1 05:49 /etc/ipsec.d/cacerts
/strongswanCert.pem
-rw-r--r-- 1 service users 4620 Mar 1 05:49
/etc/ipsec.d/certs/hostCert.pem
-rw-r--r-- 1 service users 1751 Mar 1 05:49
/etc/ipsec.d/private/hostKey.pem
-rw-r--r-- 1 service users 1743 Mar 1 05:49
/etc/ipsec.d/private/strongswanKey.pem
?
5. 在兩個集群上運行以下VPlexcli命令:
首先來自Cluster-1中的Vplexcli
VPlexcli:/>configuration cw-vpn-configure –i cluster-witness-public-IP –force
然后是來自集群2中的Vplexcli
VPlexcli:/>configuration cw-vpn-configure –i cluster-witness-public-IP –force
*注意:請務(wù)必注意提示口令。您將被要求提供管理服務(wù)器密碼和集群見證密碼。這些可能是不同的。輸入不正確的值可能導(dǎo)致VPN無法建立
?
6. 在兩個集群上運行“vpn status”并確認(rèn)vpn完全建立。檢查遠(yuǎn)程管理服務(wù)器是否可訪問,IPSEC是否啟動,遠(yuǎn)程網(wǎng)關(guān)是否可訪問,群集見證服務(wù)器是否可訪問。
·?????? 樣例輸出
VPlexcli:/> vpn status
Verifying the VPN status between the management servers...
IPSEC is UP <--
Remote Management Server at IP Address xx.xx.xx.xxis reachable <--
Remote Internal Gateway addresses are reachable <--
?
7. 驗證管理服務(wù)器和集群見證服務(wù)器之間的VPN狀態(tài)。
IPSEC is UP <--
Cluster Witness Server at IP Address 128.221.254.3 is reachable <--
?
8. 在兩個集群上運行以下VPlexcli命令:
ll cluster-witness
·?????? 樣例輸出
VPlexcli:/> ll cluster-witness
/cluster-witness:
Attributes:
Name Value
------------------ -------------
admin-state disabled <--
private-ip-address 128.221.254.3
public-ip-address XX.XX.XX.XX <--
Contexts:
Name Description
---------- --------------------------
components Cluster Witness Components
9. 通過在兩個集群上運行以下cli命令來啟用和驗證集群見證
VPlexcli:/> cluster-witness enable
VPlexcli:/> ll cluster-witness
?