Utiliser des certificats signés CA pour les contrôleurs
Vous pouvez obtenir des certificats signés par une autorité de certification pour sécuriser les communications entre les contrôleurs et le navigateur utilisé pour accéder à System Manager.
-
Vous devez être connecté avec un profil utilisateur qui inclut les autorisations d'administrateur de sécurité. Sinon, les fonctions de certificat n'apparaissent pas.
L'utilisation de certificats signés par l'autorité de certification est une procédure en trois étapes.
Étape 1 : compléter et soumettre une RSC pour les contrôleurs
Vous devez d'abord générer un fichier de requête de signature de certificat (CSR) pour chaque contrôleur de la matrice de stockage, puis soumettre le(s) fichier(s) à une autorité de certification (CA).
-
Vous devez connaître l'adresse IP ou le nom DNS de chaque contrôleur.
La RSC fournit des informations sur votre organisation, l'adresse IP ou le nom DNS du contrôleur et une paire de clés qui identifie le serveur Web dans le contrôleur. Au cours de cette tâche, un fichier CSR est généré s'il n'y a qu'un seul contrôleur dans la matrice de stockage et deux fichiers CSR s'il y a deux contrôleurs.
Ne générez pas de nouvelle RSC après la soumission à l'AC. Lorsque vous générez une RSC, le système crée une paire de clés privée et publique. La clé publique fait partie de la RSC, tandis que la clé privée est conservée dans le magasin de clés. Lorsque vous recevez les certificats signés et que vous les importez dans le magasin de clés, le système s'assure que les clés privées et publiques sont la paire d'origine. Par conséquent, vous ne devez pas générer de nouvelle RSC après en avoir soumis une à l'autorité de certification. Dans ce cas, les contrôleurs génèrent de nouvelles clés et les certificats que vous recevez de l'autorité de certification ne fonctionneront pas. |
-
Sélectionnez
. -
Dans l'onglet Array Management, sélectionnez Complete CSR.
Si une boîte de dialogue vous invite à accepter un certificat auto-signé pour le second contrôleur, cliquez sur accepter le certificat auto-signé pour continuer.
-
Entrez les informations suivantes, puis cliquez sur Suivant :
-
Organisation — le nom légal complet de votre entreprise ou organisation. Inclure les suffixes, tels que Inc. Ou Corp
-
Unité organisationnelle (facultative) — la division de votre organisation qui gère le certificat.
-
Ville/localité — la ville où se trouve votre baie de stockage ou votre entreprise.
-
État/région (facultatif) — l'état ou la région où se trouve votre baie de stockage ou votre entreprise.
-
Code ISO de pays — le code ISO à deux chiffres de votre pays (Organisation internationale de normalisation), tel que les États-Unis.
Certains champs peuvent être pré-remplis avec les informations appropriées, telles que l'adresse IP du contrôleur. Ne modifiez pas les valeurs préremplies sauf si vous êtes certain qu'elles sont incorrectes. Par exemple, si vous n'avez pas encore effectué de RSC, l'adresse IP du contrôleur est définie sur « localhost ». Dans ce cas, vous devez remplacer ""localhost" par le nom DNS ou l'adresse IP du contrôleur.
-
-
Vérifiez ou entrez les informations suivantes sur le contrôleur A de votre matrice de stockage :
-
Contrôleur Un nom commun — l'adresse IP ou le nom DNS du contrôleur A est affiché par défaut. Vérifiez que cette adresse est correcte. Elle doit correspondre exactement à ce que vous entrez pour accéder à System Manager dans le navigateur.
-
Contrôleur Une autre adresse IP — si le nom commun est une adresse IP, vous pouvez éventuellement entrer des adresses IP ou des alias supplémentaires pour le contrôleur A. Pour plusieurs entrées, utilisez un format délimité par des virgules.
-
Contrôleur Autre nom DNS — si le nom commun est un nom DNS, entrez tout nom DNS supplémentaire pour le contrôleur A. Pour plusieurs entrées, utilisez un format délimité par des virgules. S'il n'y a pas de noms DNS alternatifs, mais que vous avez saisi un nom DNS dans le premier champ, copiez ce nom ici. Si la matrice de stockage ne comporte qu'un seul contrôleur, le bouton Finish est disponible. Si la matrice de stockage comporte deux contrôleurs, le bouton Suivant est disponible.
Ne cliquez pas sur le lien Ignorer cette étape lorsque vous créez une demande CSR. Ce lien est fourni dans les situations de récupération d'erreurs. Dans de rares cas, une requête CSR peut échouer sur un contrôleur, mais pas sur l'autre. Ce lien vous permet d'ignorer l'étape de création d'une requête CSR sur le contrôleur A s'il est déjà défini et de passer à l'étape suivante pour recréer une requête CSR sur le contrôleur B.
-
-
S'il n'y a qu'un seul contrôleur, cliquez sur Finish. S'il y a deux contrôleurs, cliquez sur Suivant pour entrer les informations relatives au contrôleur B (comme ci-dessus), puis cliquez sur Terminer.
Pour un seul contrôleur, un fichier CSR est téléchargé sur votre système local. Pour les doubles contrôleurs, deux fichiers CSR sont téléchargés. L'emplacement du dossier de téléchargement dépend de votre navigateur.
-
Localisez le(s) fichier(s) CSR téléchargé(s). L'emplacement du dossier dépend de votre navigateur.
-
Soumettez le(s) fichier(s) CSR à une autorité de certification et demandez des certificats signés au format PEM.
-
Attendez que l'AC retourne les certificats, puis allez à Étape 2 : importation de certificats signés pour les contrôleurs.
Étape 2 : importation de certificats signés pour les contrôleurs
Une fois que vous avez reçu des certificats signés, vous importez les fichiers des contrôleurs.
-
L'autorité de certification a renvoyé des fichiers de certificat signés.
-
Les fichiers sont disponibles sur votre système local.
-
Si l'autorité de certification a fourni un certificat chaîné (par exemple, un fichier .p7b), vous devez déballer le fichier chaîné dans des fichiers individuels : le certificat racine, un ou plusieurs certificats intermédiaires et les certificats de serveur qui identifient les contrôleurs. Vous pouvez utiliser Windows
certmgr
Utilitaire pour décompresser les fichiers (cliquez avec le bouton droit de la souris et sélectionnez ). Une fois les exportations terminées, un fichier CER est affiché pour chaque fichier de certificat de la chaîne.
Cette tâche décrit comment télécharger les fichiers de certificat.
-
Sélectionnez
. -
Dans l'onglet Array Management, sélectionnez Importer.
Une boîte de dialogue s'ouvre pour importer le(s) fichier(s) de certificat.
-
Cliquez sur les boutons Browse pour sélectionner d'abord les fichiers racine et intermédiaire, puis sélectionnez chaque certificat de serveur pour les contrôleurs. Les fichiers racine et intermédiaire sont les mêmes pour les deux contrôleurs. Seuls les certificats de serveur sont uniques pour chaque contrôleur.
Les noms de fichiers s'affichent dans la boîte de dialogue.
-
Cliquez sur Importer.
Le(s) fichier(s) est chargé(s) et validé(s).
La session est automatiquement interrompue. Vous devez vous reconnecter pour que le ou les certificats prennent effet. Lorsque vous vous connectez de nouveau, le nouveau certificat signé par l'autorité de certification est utilisé pour votre session.