对控制器使用CA签名的证书
您可以获取CA签名的证书、以便在控制器与用于访问System Manager的浏览器之间进行安全通信。
-
您必须使用包含安全管理员权限的用户配置文件登录。否则、不会显示证书功能。
-
您必须知道每个控制器的IP地址或DNS名称。
使用CA签名证书是一个三步操作步骤。
第1步:完成控制器的CSR
您必须先为存储阵列中的每个控制器生成证书签名请求(CSR)文件。
此任务介绍如何从System Manager生成CSR文件。CSR可提供有关您的组织的信息、以及控制器的IP地址或DNS名称。在此任务期间、如果存储阵列具有一个控制器、则会生成一个CSR文件;如果存储阵列具有两个控制器、则会生成两个CSR文件。
或者、您也可以使用OpenSSL等工具生成CSR文件、并可跳至 第2步:提交CSR文件。 |
-
选择菜单:设置[证书]。
-
从阵列管理选项卡中、选择*完成CSR*。
如果显示一个对话框、提示您接受第二个控制器的自签名证书、请单击*接受自签名证书*以继续。
-
输入以下信息、然后单击*下一步*:
-
组织—贵公司或组织的法定全名。包括后缀、例如Inc.或Corp.
-
组织单位(可选)—组织中负责处理证书的部门。
-
城市/位置—存储阵列或业务所在的城市。
-
省/自治区/直辖市(可选)—存储阵列或业务所在的省/自治区/直辖市。
-
国家/地区ISO代码—您所在国家/地区的两位数ISO (国际标准化组织)代码、例如美国。
某些字段可能会预先填充相应的信息、例如控制器的IP地址。请勿更改预先填充的值、除非您确定这些值不正确。例如、如果尚未完成CSR、则控制器IP地址将设置为"`localhost.`"。 在这种情况下、您必须将"`localhost`"更改为控制器的DNS名称或IP地址。
-
-
验证或输入有关存储阵列中控制器A的以下信息:
-
控制器A公用名-默认情况下、显示控制器A的IP地址或DNS名称。请确保此地址正确无误;它必须与您在浏览器中输入的内容完全匹配、才能访问System Manager。DNS名称不能以通配符开头。
-
控制器A备用IP地址-如果公用名称为IP地址、则可以选择为控制器A输入任何其他IP地址或别名对于多个条目、请使用逗号分隔格式。
-
控制器A备用DNS名称-如果公用名是DNS名称、请为控制器A输入任何其他DNS名称对于多个条目、请使用逗号分隔格式。如果没有备用DNS名称、但您在第一个字段中输入了DNS名称、请将此名称复制到此处。DNS名称不能以通配符开头。 如果存储阵列只有一个控制器、则可以使用*完成*按钮。
如果存储阵列有两个控制器、则可以使用*下一步*按钮。
首次创建CSR请求时、请勿单击*跳过此步骤*链接。在错误恢复情况下提供此链接。在极少数情况下、一个控制器上的CSR请求可能会失败、而另一个控制器上的CSR请求则可能不会失败。通过此链接、您可以跳过在已定义的控制器A上创建CSR请求的步骤、并继续执行在控制器B上重新创建CSR请求的下一步
-
-
如果只有一个控制器、请单击*完成*。如果有两个控制器、请单击*下一步*以输入控制器B的信息(与上述相同)、然后单击*完成*。
对于单个控制器、会将一个CSR文件下载到本地系统。对于双控制器、将下载两个CSR文件。下载内容的文件夹位置取决于您的浏览器。
-
转至 第2步:提交CSR文件。
第2步:提交CSR文件
创建证书签名请求(CSR)文件后、请将这些文件发送到证书颁发机构(CA)。E系列系统要求对签名证书使用PEM格式(Base64 ASCII编码)、其中包括以下文件类型:PEM、.crt、.cer或.key。
-
找到已下载的CSR文件。
-
将CSR文件提交到CA (例如VeriSign或DigiCert)、并请求PEM格式的签名证书。
*将CSR文件提交给CA后、请勿重新生成另一个CSR文件。*每当生成CSR时、系统都会创建一个专用和公有 密钥对。公有 密钥是CSR的一部分、而私钥则保留在系统的密钥库中。当您收到签名证书并将其导入时、系统会确保私钥和公有 密钥都是原始对。如果密钥不匹配、则签名证书将不起作用、您必须从CA请求新证书。
-
当CA返回签名证书时、转到 [第3步:导入控制器的签名证书]。
第3步:导入控制器的签名证书
从证书颁发机构(CA)收到签名证书后、导入控制器的文件。
-
CA返回签名证书文件。这些文件包括根证书、一个或多个中间证书以及服务器证书。
-
如果CA提供了一个链式证书文件(例如.p7b文件)、则必须将链式文件解压缩到各个文件中:根证书、一个或多个中间证书以及用于标识控制器的服务器证书。您可以使用Windows
certmgr
用于解压缩文件的实用程序(右键单击并选择菜单:所有任务[导出])。建议使用64位编码。导出完成后、系统将为链中的每个证书文件显示一个CER"文件。 -
您已将证书文件复制到访问System Manager的主机系统。
-
选择菜单:设置[证书]
-
从阵列管理选项卡中、选择*导入*。
此时将打开一个对话框、用于导入证书文件。
-
单击*浏览*按钮、首先选择根证书和中间证书文件、然后选择控制器的每个服务器证书。两个控制器的根文件和中间文件相同。对于每个控制器、只有服务器证书是唯一的。如果从外部工具生成CSR、则还必须导入随CSR一起创建的私钥文件。
文件名将显示在对话框中。
-
单击 * 导入 * 。
这些文件将上传并进行验证。
会话将自动终止。要使证书生效、您必须重新登录。重新登录后、新的CA签名证书将用于会话。