Verwenden Sie CA-signierte Zertifikate für Controller
Sie können Zertifikate von CA-signierte für die sichere Kommunikation zwischen den Controllern und dem Browser erhalten, der für den Zugriff auf System Manager verwendet wird.
-
Sie müssen mit einem Benutzerprofil angemeldet sein, das Sicherheitsadministratorberechtigungen enthält. Andernfalls werden keine Zertifikatfunktionen angezeigt.
Die Verwendung von CA-signierten Zertifikaten ist ein dreistufiges Verfahren.
Schritt 1: Eine CSR für die Controller abschließen und einreichen
Sie müssen zuerst für jeden Controller im Speicher-Array eine CSR-Datei (Certificate Signing Request) generieren und dann die Datei(en) an eine Zertifizierungsstelle (CA) senden.
-
Sie müssen die IP-Adresse oder den DNS-Namen jedes Controllers kennen.
Der CSR stellt Informationen über Ihre Organisation, die IP-Adresse oder den DNS-Namen des Controllers und ein Schlüsselpaar zur Verfügung, das den Webserver im Controller identifiziert. Während dieser Aufgabe wird eine CSR-Datei erzeugt, wenn es nur einen Controller im Speicher-Array und zwei CSR-Dateien gibt, wenn es zwei Controller gibt.
Generieren Sie nach der Übermittlung an die CA keine neue CSR. Wenn Sie eine CSR erstellen, erstellt das System ein privates und öffentliches Schlüsselpaar. Der öffentliche Schlüssel ist Teil des CSR, während der private Schlüssel im Schlüsselspeicher aufbewahrt wird. Wenn Sie die signierten Zertifikate erhalten und in den Schlüsselspeicher importieren, stellt das System sicher, dass sowohl der private als auch der öffentliche Schlüssel das ursprüngliche Paar sind. Daher dürfen Sie nach dem Einreichen einer CSR an die CA keine neue CSR generieren. Wenn Sie dies tun, generieren die Controller neue Schlüssel, und die Zertifikate, die Sie von der CA erhalten, funktionieren nicht. |
-
Wählen Sie
. -
Wählen Sie auf der Registerkarte Array Management die Option Complete CSR aus.
Wenn ein Dialogfeld angezeigt wird, in dem Sie aufgefordert werden, ein selbstsigniertes Zertifikat für den zweiten Controller anzunehmen, klicken Sie zum Fortfahren auf Selbstsigniertes Zertifikat akzeptieren.
-
Geben Sie die folgenden Informationen ein, und klicken Sie dann auf Weiter:
-
Organisation — der vollständige, rechtliche Name Ihres Unternehmens oder Ihrer Organisation. Fügen Sie Suffixe wie Inc. Oder Corp. Mit ein
-
Organisationseinheit (optional) — die Abteilung Ihrer Organisation, die das Zertifikat bearbeitet.
-
Stadt/Ort — die Stadt, in der sich Ihr Speicher-Array oder Geschäft befindet.
-
Bundesland/Region (optional) — der Staat oder die Region, in der sich Ihr Speicher-Array oder Ihr Geschäft befindet.
-
Land ISO Code — der zweistellige ISO-Code Ihres Landes (International Organization for Standardization), wie z. B. die USA.
Einige Felder sind möglicherweise bereits mit den entsprechenden Informationen ausgefüllt, z. B. mit der IP-Adresse des Controllers. Ändern Sie die vorausgefüllten Werte nur, wenn Sie sich sicher sind, dass sie nicht korrekt sind. Wenn Sie zum Beispiel noch keinen CSR-Vorgang abgeschlossen haben, wird die Controller-IP-Adresse auf „
localhost.
“ gesetzt. In diesem Fall müssen Sie „localhost
“ in den DNS-Namen oder die IP-Adresse des Controllers ändern. -
-
Überprüfen oder geben Sie die folgenden Informationen über Controller A in Ihrem Speicher-Array ein:
-
Controller Ein gemeinsamer Name — die IP-Adresse oder der DNS-Name von Controller A wird standardmäßig angezeigt. Stellen Sie sicher, dass diese Adresse korrekt ist. Sie muss mit den Angaben übereinstimmen, die Sie für den Zugriff auf System Manager im Browser eingeben.
-
Controller Eine alternative IP-Adresse — Wenn der gemeinsame Name eine IP-Adresse ist, können Sie optional weitere IP-Adressen oder Aliase für Controller A eingeben Verwenden Sie für mehrere Einträge ein kommagetrenntes Format.
-
Controller Ein alternativer DNS-Name — Wenn der gemeinsame Name ein DNS-Name ist, geben Sie weitere DNS-Namen für Controller A. ein Verwenden Sie für mehrere Einträge ein kommagetrenntes Format. Falls es keine alternativen DNS-Namen gibt, aber Sie im ersten Feld einen DNS-Namen eingegeben haben, kopieren Sie diesen Namen hier. Wenn das Speicher-Array nur über einen Controller verfügt, steht die Finish-Taste zur Verfügung. Wenn das Speicher-Array über zwei Controller verfügt, steht die Schaltfläche Weiter zur Verfügung.
Klicken Sie nicht auf den Link Skip this Step, wenn Sie eine CSR-Anfrage erstellen. Dieser Link wird in Fehlerwiederherstellungssituationen bereitgestellt. In seltenen Fällen kann eine CSR-Anfrage auf einem Controller fehlschlagen, aber nicht auf dem anderen. Über diesen Link können Sie den Schritt zum Erstellen einer CSR-Anfrage für Controller A überspringen, wenn er bereits definiert ist, und mit dem nächsten Schritt zum erneuten Erstellen einer CSR-Anfrage auf Controller B fortfahren
-
-
Wenn nur ein Controller vorhanden ist, klicken Sie auf Fertig stellen. Wenn zwei Controller vorhanden sind, klicken Sie auf Weiter, um die Daten für Controller B einzugeben (wie oben), und klicken Sie dann auf Fertig stellen.
Für einen einzelnen Controller wird eine CSR-Datei auf Ihr lokales System heruntergeladen. Für Dual Controller werden zwei CSR-Dateien heruntergeladen. Der Speicherort des Downloads hängt von Ihrem Browser ab.
-
Suchen Sie die heruntergeladenen CSR-Dateien. Der Speicherort des Ordners hängt vom Browser ab.
-
Senden Sie die CSR-Datei(en) an eine CA und fordern Sie signierte Zertifikate im PEM-Format an.
-
Warten Sie, bis die Zertifizierungsstelle die Zertifikate zurückgibt, und gehen Sie dann zu Schritt 2: Importieren Sie signierte Zertifikate für Controller.
Schritt 2: Importieren Sie signierte Zertifikate für Controller
Nachdem Sie signierte Zertifikate erhalten haben, importieren Sie die Dateien für die Controller.
-
Die CA hat signierte Zertifikatdateien zurückgegeben.
-
Die Dateien sind auf Ihrem lokalen System verfügbar.
-
Wenn die CA ein verkettetes Zertifikat (z. B. eine .p7b-Datei) lieferte, müssen Sie die verkettete Datei in einzelne Dateien entpacken: Das Stammzertifikat, ein oder mehrere Zwischenzertifikate und die Serverzertifikate, die die Controller identifizieren. Sie können die Windows verwenden
certmgr
Dienstprogramm zum Auspacken der Dateien (Rechtsklick und wählen Sie ). Wenn die Exporte abgeschlossen sind, wird für jede Zertifikatdatei in der Kette eine CER-Datei angezeigt.
In dieser Aufgabe wird beschrieben, wie Sie die Zertifikatdateien hochladen.
-
Wählen Sie
. -
Wählen Sie auf der Registerkarte Array Management die Option Import.
Es wird ein Dialogfeld zum Importieren der Zertifikatdatei(en) geöffnet.
-
Klicken Sie auf die Schaltflächen Durchsuchen, um zuerst die Root- und Zwischendateien auszuwählen und dann jedes Serverzertifikat für die Controller auszuwählen. Die Root- und Zwischendateien sind für beide Controller gleich. Nur die Serverzertifikate sind für jeden Controller eindeutig.
Die Dateinamen werden im Dialogfeld angezeigt.
-
Klicken Sie Auf Import.
Die Datei(en) werden hochgeladen und validiert.
Die Sitzung wird automatisch beendet. Sie müssen sich erneut anmelden, damit die Zertifikate wirksam werden. Wenn Sie sich erneut anmelden, wird das neue CA-signierte Zertifikat für Ihre Sitzung verwendet.