Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

对控制器使用CA签名的证书

贡献者

您可以获取CA签名的证书、以便在控制器与用于访问System Manager的浏览器之间进行安全通信。

开始之前
  • 您必须使用包含安全管理员权限的用户配置文件登录。否则、不会显示证书功能。

  • 您必须知道每个控制器的IP地址或DNS名称。

关于此任务

使用CA签名证书是一个三步操作步骤。

第1步:完成控制器的CSR

您必须先为存储阵列中的每个控制器生成证书签名请求(CSR)文件。

关于此任务

此任务介绍如何从System Manager生成CSR文件。CSR可提供有关您的组织的信息、以及控制器的IP地址或DNS名称。在此任务期间、如果存储阵列具有一个控制器、则会生成一个CSR文件;如果存储阵列具有两个控制器、则会生成两个CSR文件。

备注

或者,您也可以使用OpenSSL等工具生成CSR文件,并可跳至第2步:提交CSR文件

步骤
  1. 选择菜单:设置[证书]。

  2. 从阵列管理选项卡中、选择*完成CSR*。

    备注

    如果显示一个对话框、提示您接受第二个控制器的自签名证书、请单击*接受自签名证书*以继续。

  3. 输入以下信息、然后单击*下一步*:

    • 组织—贵公司或组织的法定全名。包括后缀、例如Inc.或Corp.

    • 组织单位(可选)—组织中负责处理证书的部门。

    • 城市/位置—存储阵列或业务所在的城市。

    • 省/自治区/直辖市(可选)—存储阵列或业务所在的省/自治区/直辖市。

    • 国家/地区ISO代码—您所在国家/地区的两位数ISO (国际标准化组织)代码、例如美国。

    注意

    某些字段可能会预先填充相应的信息、例如控制器的IP地址。请勿更改预先填充的值、除非您确定这些值不正确。例如、如果尚未完成CSR、则控制器IP地址将设置为"`localhost.`"。 在这种情况下、您必须将"`localhost`"更改为控制器的DNS名称或IP地址。

  4. 验证或输入有关存储阵列中控制器A的以下信息:

    • 控制器A公用名-默认情况下、显示控制器A的IP地址或DNS名称。请确保此地址正确无误;它必须与您在浏览器中输入的内容完全匹配、才能访问System Manager。DNS名称不能以通配符开头。

    • 控制器A备用IP地址--如果公用名是IP地址,您可以选择为控制器A输入任何其他IP地址或别名。对于多个条目,请使用逗号分隔格式。

    • 控制器A备用DNS名称--如果公用名是DNS名称,请为控制器A输入任何其他DNS名称。对于多个条目,请使用逗号分隔格式。如果没有备用DNS名称、但您在第一个字段中输入了DNS名称、请将此名称复制到此处。DNS名称不能以通配符开头。如果存储阵列只有一个控制器、则可以使用*完成*按钮。

      如果存储阵列有两个控制器、则可以使用*下一步*按钮。

    备注

    首次创建CSR请求时、请勿单击*跳过此步骤*链接。在错误恢复情况下提供此链接。在极少数情况下、一个控制器上的CSR请求可能会失败、而另一个控制器上的CSR请求则可能不会失败。通过此链接、您可以跳过在已定义的控制器A上创建CSR请求的步骤、并继续执行在控制器B上重新创建CSR请求的下一步

  5. 如果只有一个控制器、请单击*完成*。如果有两个控制器、请单击*下一步*以输入控制器B的信息(与上述相同)、然后单击*完成*。

    对于单个控制器、会将一个CSR文件下载到本地系统。对于双控制器、将下载两个CSR文件。下载内容的文件夹位置取决于您的浏览器。

  6. 转到。 第2步:提交CSR文件

第2步:提交CSR文件

创建证书签名请求(CSR)文件后、请将这些文件发送到证书颁发机构(CA)。E系列系统要求对签名证书使用PEM格式(Base64 ASCII编码)、其中包括以下文件类型:PEM、.crt、.cer或.key。

步骤
  1. 找到已下载的CSR文件。

  2. 将CSR文件提交到CA (例如VeriSign或DigiCert)、并请求PEM格式的签名证书。

    注意

    *将CSR文件提交给CA后,请勿重新生成其他CSR文件。*每当生成CSR时、系统都会创建一个专用密钥对和公有 密钥对。公有 密钥是CSR的一部分、而私钥则保留在系统的密钥库中。当您收到签名证书并将其导入时、系统会确保私钥和公有 密钥都是原始对。如果密钥不匹配、则签名证书将不起作用、您必须从CA请求新证书。

  3. 当CA返回签名证书时,请转到[第3步:导入控制器的签名证书]

第3步:导入控制器的签名证书

从证书颁发机构(CA)收到签名证书后、导入控制器的文件。

开始之前
  • CA返回签名证书文件。这些文件包括根证书、一个或多个中间证书以及服务器证书。

  • 如果CA提供了一个链式证书文件(例如.p7b文件)、则必须将链式文件解压缩到各个文件中:根证书、一个或多个中间证书以及用于标识控制器的服务器证书。您可以使用Windows `certmgr`实用程序解压缩文件(右键单击并选择菜单:所有任务[导出])。建议使用64位编码。导出完成后、系统将为链中的每个证书文件显示一个CER"文件。

  • 您已将证书文件复制到访问System Manager的主机系统。

步骤
  1. 选择菜单:设置[证书]

  2. 从阵列管理选项卡中、选择*导入*。

    此时将打开一个对话框、用于导入证书文件。

  3. 单击*浏览*按钮、首先选择根证书和中间证书文件、然后选择控制器的每个服务器证书。两个控制器的根文件和中间文件相同。对于每个控制器、只有服务器证书是唯一的。如果从外部工具生成CSR、则还必须导入随CSR一起创建的私钥文件。

    文件名将显示在对话框中。

  4. 单击 * 导入 * 。

    这些文件将上传并进行验证。

结果

会话将自动终止。要使证书生效、您必须重新登录。重新登录后、新的CA签名证书将用于会话。