[VPLEX]更新证书
注:非专业人士勿自行操作,请咨询DellEMC客服服务团队,否则后果自负。
更新证书
第一次配置VPLEX时,它创建两个数字证书和一个CA证书:
·所有集群通用的证书颁发机构(CA)证书
·VPN主机证书
·Web服务器主机证书
所有类型的证书都会到期,必须定期更新,以维护对VPLEX的访问。默认情况下:
·CA证书必须每5年更新一次
·主机证书必须每两年更新一次
注意: 主机和 Web 服务器主机的 VPLEX 安全证书在 VPN 主机之前到期并且 VPN 链接断开、用户无法访问或查看远程群集和桌面解决方案时,将使用此知识库由于链路断开,集群之间的 VPN 已关闭(仅限 VPLEX Metro/Geo),因此更新证书失败。
更新安全证书
查看vpn状态
确定哪个集群创建了群集见证主机证书
security renew-all-certificates CLI命令在每个集群上执行两次。当部署了VPLEX Witness时,该命令必须首先在创建VPLEX Witness安全证书的集群上执行(在配置cluster Witness VPN时)。要确定证书创建的位置:
使用当前的密码短语更新
在第一个集群
运行security renew-all-certificates命令
输入y,系统提示如下:
接下来的步骤取决于VPLEX找到的当前密码短语的数量。
如果VPLEX找到了除VPLEX Witness证书外的所有证书的当前密码短语,则会提示您只输入VPLEX Witness证书的密码短语。例如:
如果VPLEX没有找到其他密码短语,则会显示输入这些密码短语的提示。在下面的例子中,VPLEX找不到任何密码短语:
在第二个集群
运行security renew-all-certificate
输入y,系统显示如下提示信息:
输入y。系统显示如下提示信息:
输入y。
以下步骤取决于VPLEX找到的当前密码短语的数量。
如果VPLEX找到所有证书的当前密码短语,系统将提示您只输入远端集群上CA证书的密码短语。例如:
如果VPLEX没有找到其他密码,则提示输入另一个集群上的服务帐户密码,并显示该密码。在下面的例子中,VPLEX找不到任何密码短语:
使用新的密码短语更新
在第一个集群
运行security renew-all-certificates命令
系统提示如下:
输入y。系统显示如下提示信息:
输入n.显示如下提示信息:
输入用于更新所有证书的通用密码短语。系统提示如下:
重新输入公共密码。系统显示如下信息:
在第二个集群
运行security renew-all-certificates命令
输入y。系统显示如下提示信息:
输入y。系统显示如下提示信息:
输入n.显示如下提示信息:
键入要用于所有证书的密码短语。系统提示如下:
重新输入密码。系统提示如下:
输入第一个集群中创建的证书颁发机构密码。系统提示如下:
重新输入密码。系统显示如下信息:
验证VPLEX Witness状态
手动重新创建安全证书
用户忘记证书密码:
有四种情况下,用户可能忘记了证书密码:
在创建主机证书时。
同时创建web服务器主机证书。
在从管理服务器配置到群集见证服务器的VPN时。
在管理服务器之间配置VPN时,用户忘记了本地主机证书的密码。
按照以下步骤纠正此问题。即使在遵循以下步骤之后,如果问题仍然存在,请联系您的本地服务代表获得技术支持,并引用本文ID。如果无法提供本地服务代表,请联系EMC客户支持中心。
证书即将到期或已到期:
这个知识库还可以在任何证书即将到期*或已到期时使用。按照以下步骤同时更新所有证书。
*注:如果你收到一份电子邮件警报,证书将在七天内到期,或一个月,这期间没有通过第一次跟随VPLEX覆盖的操作过程“更新安全证书”,可以发现在VPLEX过程发电机解决桌面或解决网上, VPLEX Procedures > Administration procedures > Manage > Renew security certificates
一定要选择应用于VPLEX配置的过程,如果在VPLEX上配置了Cluster Witness,则使用该过程。
如果在尝试遵循过程中的操作之后无法更新证书,那么根据VPLEX上运行的代码版本,按照此KB中的适当部分重新创建安全证书。
VPN证书必须手动重新创建:
当任何证书即将到期或已经到期时,也可以使用这个KB。按照以下步骤同时更新所有证书,并恢复VPN隧道。
解决方案提供了以上提到的每个场景的解决方案:
如果用户忘记了CA密码,则用户别无选择,只能重新创建所有证书,并在VPLEX Metro或Geo配置的情况下重新建立VPN。使用以下步骤重新创建密码短语。一旦创建了新的口令,就记录下来:
这个过程根据VPLEX运行的地质同步版本分成几个部分,后面还有一个关于cluster-witness的部分。
注意:如果你运行的是5.5.x之前的任何地球同步代码版本,这些版本是使用寿命结束(EOSL),不再支持。重建后的安全证书请计划升级你的VPLEX至少最新的目标代码,6.0 SP1 P7,或最新的代码发布,以确保您正在运行的最新版本支持的代码会让你修复、增强和固定的安全漏洞,自您当前正在运行的代码被释放,你会从中受益。
Section-A: GeoSynchrony 5.0.x and 5.1.x code levels (requires root password, must be performed by support)
Section-B: GeoSynchrony 5.2.x code levels (requires root password, must be performed by support)
Section-C: GeoSynchrony 5.3.x and 5.4.x code levels
Section-D: GeoSynchrony 5.5.x and 6.x code levels
Section-E: Cluster-Witness
对于5.0x到5.4x代码级别:
注意:
如果在 VPLEX Local 上执行此过程,则执行除步骤 #1、#4、#8、#9之外的所有步骤,并忽略“两个群集”的注释
1. 在两个群集上的 VPlexcli 中(VPLEX Local跳过):
vpn stop
2. 在两个集群上的 VPlexcli 中(VPLEX Local需要):
security delete-ca-certificate
security delete-host-certificate
security delete-host-certificate -o webServerHostCertFile.pem -f webServerHostkeyFile.pem
3.只在Cluster-1 VPlexcli(VPLEX Local需要):
security create-ca-certificate
4.在管理服务器提示符下只有Cluster-1(VPLEX Local跳过):
scp /etc/ipsec.d/cacerts/strongswanCert.pem service@<Cluster-2-IP>:/etc/ipsec.d/cacerts
scp /etc/ipsec.d/private/strongswanKey.pem service@<Cluster-2-IP>:/etc/ipsec.d/private
5.在管理服务器提示符下的两个群集上(VPLEX Local 需要):
sudo /usr/java/jre1.6.0_03/bin/keytool -delete -alias ROOT -keystore /usr/java/jre1.6.0_03/lib/security/cacerts -storetype jks -storepass changeit
sudo /usr/java/jre1.6.0_03/bin/keytool -importcert -file /etc/ipsec.d/cacerts/strongswanCert.pem -alias ROOT -keystore /usr/java/jre1.6.0_03/lib/security/cacerts -storetype jks -storepass changeit -noprompt
注意:如果在运行上述命令后,您收到消息“alias vplex.root does not exist”,请忽略并继续下一步。此消息的含义是第一次创建密码短语时未创建 java 密钥库文件。
6.在 VPlexcli 中的两个集群上(VPLEX Local 需要):
security create-host-certificate
security create-host-certificate -o webServerHostCertFile.pem -f webServerHostkeyFile.pem
7. 在此步骤中,确保您处于管理服务器
/home/service的“home”提示级别。要从提示符输入“cd”,然后检查您是否在“home”提示符下,输入“pwd”,您应该看到列出的“/home/service”,例如:
要返回主页提示:
service@ManagementService:/var/log/VPlex/cli>cd
service@ManagementService:~>
然后确保您在主页提示下:
service@ManagementService:~>pwd
/home/service << 表示您正处于此步骤的 home 提示符
service@ManagementService:~>
现在,按照下一步行动:在这两个集群在管理服务器的家提示符(需要VPLEX本地):
/opt/emc/VPlex/tools/utils/JKSsetup.pl
sudo /etc/init.d/VPlexManagementConsole restart
8.VPlexcli 中的两个集群,首先是集群 1,然后是集群 2(VPLEX Local跳过):
security ipsec-configure -i <远程管理服务器的IP地址>
vpn start
9.在 VPlexcli 中的两个集群上(VPLEX Local跳过):
vpn status
确认 VPN 已完全建立。检查远程管理服务器是否可访问、IPSEC 是否已启动、远程网关是否可访问以及集群见证服务器是否可访问。示例输出:
VPlexcli:/>vpn status
Verifying the VPN status between the management servers...
IPSEC is UP <--
Remote Management Server at IP Address 10.241.164.241 is reachable <--
Remote Internal Gateway addresses are reachable <--
检查管理服务器和集群见证服务器之间的VPN状态…
IPSEC is UP <--
Cluster Witness Server at IP Address 128.221.254.3 is reachable <--
如果128.221.254.3无法访问,请继续访问Section- e的“Cluster-Witness Section”,如果不是,请在此停止,因为程序已经完成。
对于5.5x和6.0x代码级别:
注意:
如果在 VPLEX Local 上执行此过程,则执行除步骤 #1、#4、#5 之外的每个步骤,并忽略“两个集群”的注释
1. 在两个集群上的 VPlexcli 中(VPLEX Local跳过):
示例:VPlexcli:/>vpn stop
2. 在两个集群上的 VPlexcli 中(VPLEX Local 需要):
security delete-ca-certificate
security delete-host-certificate
security delete-host-certificate -o webServerHostCertFile.pem -f webServerHostkeyFile.pem
3.VPlexcli 中的两个集群,首先是 cluster-1((VPLEX Local需要),然后是 cluster-2
security configure-certificates
注意:如果你运行这个命令并接收有关证书错误已经存在,请“'exit”到管理服务器的提示,可以在命令删除旧的过时的证书,如下所示,然后重试步骤#3:
rm /etc/ipsec.d/*/*pem*
4.VPlexcli 中的两个集群,先是集群 1,然后是集群 2(VPLEX Local跳过):
security ipsec-configure -i <远程管理服务器的IP地址>
vpn start
5.在 VPlexcli 中的两个集群上(VPLEX Local跳过):
vpn status
确认 VPN 已完全建立。检查远程管理服务器是否可访问、IPSEC 是否已启动、远程网关是否可访问以及集群见证服务器是否可访问。示例输出:
VPlexcli:/>vpn status
Verifying the VPN status between the management servers...
IPSEC is UP <--
Remote Management Server at IP Address10.241.164.241is reachable <--
Remote Internal Gateway addresses are reachable <--
正在验证管理服务器和集群见证服务器之间的 VPN 状态...
IPSEC 已启动 <--
IP 上的集群见证服务器地址128.221.254.3可达 <--
如果 128.221.254.3 不可达,则继续执行 Section-E“Cluster-Witness Section”,如果没有则停止,因为程序已完成。
Cluster Witness
如果Cluster-Witness已部署,仅VPLEX Metro。
1.要找到cluster-witness的公共IP,运行以下VPlexcli命令:
VPlexcli:/> ll /cluster-witness/
· 样例输出
/cluster-witness:
Attributes:
Name Value
------------------ -------------
admin-state unknown
private-ip-address 128.221.254.3
public-ip-address XX.XX.XX.XX <<< Cluster-Witness public IP
2. SSH到集群的公共IP见证
service@ManagementServer:~> ssh <cluster-witness-public-IP>
· 样例输出
service@ManagementServer:~> ssh xx.xx.xx.xx
Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of knownhosts.
Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx
service@ClusterWitness:~>
3.检查cluster-witness的主机密钥密码
集群见证主机密钥密码可能与管理服务器不同。请用以下命令检查:
service@cluster-witness:~> tail -1 /etc/ipsec.secrets
· 样例输出
service@cluster-witness:~> tail -1 /etc/ipsec.secrets
: RSA hostKey.pem strongswan <--本例中的口令是strongswan
记住这个值,因为在运行步骤5时需要它。如果密码在" "之间,不要包含它们。
4. 删除集群见证服务器上的四个证书文件,如下所示:
service@cluster-witness:~> rm /etc/ipsec.d/*/*pem
注意:如果您首先想查看您将要删除的所有的*pem文件,请运行命令ll /etc/ipsec.d/* */* *
· 样例输出
service@ClusterWitness:~> ll /etc/ipsec.d/*/*pem
-rw-r--r-- 1 service users 1655 Mar 1 05:49 /etc/ipsec.d/cacerts
/strongswanCert.pem
-rw-r--r-- 1 service users 4620 Mar 1 05:49
/etc/ipsec.d/certs/hostCert.pem
-rw-r--r-- 1 service users 1751 Mar 1 05:49
/etc/ipsec.d/private/hostKey.pem
-rw-r--r-- 1 service users 1743 Mar 1 05:49
/etc/ipsec.d/private/strongswanKey.pem
5. 在两个集群上运行以下VPlexcli命令:
首先来自Cluster-1中的Vplexcli
VPlexcli:/>configuration cw-vpn-configure –i cluster-witness-public-IP –force
然后是来自集群2中的Vplexcli
VPlexcli:/>configuration cw-vpn-configure –i cluster-witness-public-IP –force
*注意:请务必注意提示口令。您将被要求提供管理服务器密码和集群见证密码。这些可能是不同的。输入不正确的值可能导致VPN无法建立
6. 在两个集群上运行“vpn status”并确认vpn完全建立。检查远程管理服务器是否可访问,IPSEC是否启动,远程网关是否可访问,群集见证服务器是否可访问。
· 样例输出
VPlexcli:/> vpn status
Verifying the VPN status between the management servers...
IPSEC is UP <--
Remote Management Server at IP Address xx.xx.xx.xxis reachable <--
Remote Internal Gateway addresses are reachable <--
7. 验证管理服务器和集群见证服务器之间的VPN状态。
IPSEC is UP <--
Cluster Witness Server at IP Address 128.221.254.3 is reachable <--
8. 在两个集群上运行以下VPlexcli命令:
ll cluster-witness
· 样例输出
VPlexcli:/> ll cluster-witness
/cluster-witness:
Attributes:
Name Value
------------------ -------------
admin-state disabled <--
private-ip-address 128.221.254.3
public-ip-address XX.XX.XX.XX <--
Contexts:
Name Description
---------- --------------------------
components Cluster Witness Components
9. 通过在两个集群上运行以下cli命令来启用和验证集群见证
VPlexcli:/> cluster-witness enable
VPlexcli:/> ll cluster-witness
