Skip to main content
SANtricity software
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 SANtricity System Manager 中为控制器使用 CA 签名证书

PDF

您可以获取 CA 签名的证书,以便在控制器和用于访问 SANtricity System Manager 的浏览器之间进行安全通信。

开始之前

  • 必须使用包含 Security admin 权限的用户配置文件登录。否则,不会显示证书功能。

  • 您必须知道每个控制器的 IP 地址或 DNS 名称。

关于此任务

使用 CA 签名的证书是一个三步过程。

步骤 1:完成控制器的 CSR

您必须首先为存储阵列中的每个控制器生成证书签名请求 (CSR) 文件。

关于此任务

此任务介绍如何从 System Manager 生成 CSR 文件。CSR 提供有关您的组织的信息,以及控制器的 IP 地址或 DNS 名称。在此任务期间,如果存储阵列具有一个控制器,则生成一个 CSR 文件,如果存储阵列具有两个控制器,则生成两个 CSR 文件。

备注

或者,您可以使用 OpenSSL 等工具生成 CSR 文件,并跳至 步骤 2:提交 CSR 文件
步骤

  1. 选择菜单:Settings[Certificates]。

  2. 从阵列管理选项卡中,选择 Complete CSR

    备注

    如果您看到提示您接受第二个控制器的自签名证书的对话框,请单击 Accept Self-Signed Certificate 以继续。

  3. 输入以下信息,然后单击 Next

    • 组织 — 贵公司或组织的完整法定名称。包括后缀,例如 Inc. 或 Corp.。

    • 组织单位(可选) — 处理证书的组织部门。

    • 城市/地区 — 您的存储阵列或业务所在的城市。

    • 州/地区(可选) — 您的存储阵列或业务所在的州或地区。

    • 国家/地区 ISO 代码 — 您所在国家/地区的两位数 ISO(International Organization for Standardization)代码,例如 US。

    注意

    某些字段可能会预先填充相应的信息,例如控制器的 IP 地址。除非您确定预先填充的值不正确,否则请勿更改。例如,如果您尚未完成 CSR,则控制器 IP 地址将设置为"`localhost.`"在这种情况下,您必须将"`localhost`"更改为控制器的 DNS 名称或 IP 地址。

  4. 验证或输入有关存储阵列中控制器 A 的以下信息:

    • Controller A common name — 默认显示控制器 A 的 IP 地址或 DNS 名称。请确保此地址正确;它必须与您在浏览器中访问 System Manager 时输入的内容完全匹配。DNS 名称不能以通配符开头。

    • Controller A 备用 IP 地址 — 如果公用名称是 IP 地址,您可以选择输入 controller A 的任何其他 IP 地址或别名。对于多个条目,请使用逗号分隔格式。

    • 控制器 A 备用 DNS 名称 — 如果公用名称是 DNS 名称,请输入控制器 A 的任何其他 DNS 名称。对于多个条目,请使用逗号分隔格式。如果没有其他 DNS 名称,但您在第一个字段中输入了 DNS 名称,请将该名称复制到此处。DNS 名称不能以通配符开头。如果存储阵列只有一个控制器,则*完成*按钮可用。

      如果存储阵列有两个控制器,则 Next 按钮可用。

    备注

    最初创建 CSR 请求时,请勿单击 跳过此步骤 链接。此链接在错误恢复情况下提供。在极少数情况下,CSR 请求可能会在一个控制器上失败,但不会在另一个控制器上失败。此链接允许您跳过在控制器 A 上创建 CSR 请求的步骤(如果已定义),并继续下一步在控制器 B 上重新创建 CSR 请求。

  5. 如果只有一个控制器,请单击 Finish。如果有两个控制器,请单击 Next 输入控制器 B 的信息(同上),然后单击 Finish

    对于单个控制器,将一个 CSR 文件下载到您的本地系统。对于双控制器,下载两个 CSR 文件。下载的文件夹位置取决于您的浏览器。

  6. 转至 步骤 2:提交 CSR 文件

步骤 2:提交 CSR 文件

创建证书签名请求 (CSR) 文件后,将文件发送到证书颁发机构 (CA)。E-Series 系统要求签名证书采用 PEM 格式 (Base64 ASCII 编码),其中包括以下文件类型:.pem、.crt、.cer 或 .key。

步骤

  1. 找到下载的 CSR 文件。

  2. 将 CSR 文件提交给 CA(例如,Verisign 或 DigiCert),并以 PEM 格式请求已签名的证书。

    注意

    *向 CA 提交 CSR 文件后,请勿重新生成其他 CSR 文件。*每当您生成 CSR 时,系统都会创建私钥和公钥对。公钥是 CSR 的一部分,而私钥则保存在系统的密钥库中。当您收到签名的证书并导入它们时,系统将确保私钥和公钥都是原始对。如果密钥不匹配,则签名的证书将不起作用,您必须向 CA 请求新证书。

  3. 当 CA 返回已签名的证书时,请转到 步骤 3:导入控制器的签名证书

步骤 3:导入控制器的签名证书

收到来自证书颁发机构 (CA) 的签名证书后,导入控制器的文件。

开始之前

  • CA 返回了签名的证书文件。这些文件包括根证书、一个或多个中间证书和服务器证书。

  • 如果 CA 提供了一个链接的证书文件(例如 .p7b 文件),则必须将链接的文件解压缩为单个文件:根证书、一个或多个中间证书以及标识控制器的服务器证书。您可以使用 Windows certmgr 实用程序解压缩文件(右键单击并选择菜单:所有任务[导出])。建议使用 Base-64 编码。导出完成后,将显示链中每个证书文件的 CER 文件。

  • 已将证书文件复制到访问 System Manager 的主机系统。

步骤

  1. 选择菜单:Settings[Certificates]

  2. 从 Array Management 选项卡中,选择 Import

    此时会打开一个对话框以导入证书文件。

  3. 单击 浏览 按钮,首先选择根证书文件和中间证书文件,然后为控制器选择每个服务器证书。两个控制器的根文件和中间文件相同。对于每个控制器,只有服务器证书是唯一的。如果您从外部工具生成了 CSR,则还必须导入与 CSR 一起创建的私钥文件。

    文件名显示在对话框中。

  4. 单击 Import

    文件已上传并验证。

结果

会话会自动终止。要使此证书生效,必须重新登录。当您再次登录时,新的 CA 签名的证书将用于您的会话。