Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

控制器使用CA簽署的憑證

貢獻者

您可以取得CA簽署的憑證、以便在控制器與瀏覽器之間進行安全通訊、以存取System Manager。

開始之前
  • 您必須以包含安全管理員權限的使用者設定檔登入。否則、不會顯示憑證功能。

  • 您必須知道每個控制器的IP位址或DNS名稱。

關於這項工作

使用CA簽署的憑證是三個步驟的程序。

步驟1:完成控制器的CSR

您必須先為儲存陣列中的每個控制器產生憑證簽署要求(CSR)檔案。

關於這項工作

本工作說明如何從System Manager產生CSR檔案。CSR會提供組織的相關資訊、以及控制器的IP位址或DNS名稱。在此工作期間、如果儲存陣列有一個控制器和兩個CSR檔案(如果有兩個控制器)、則會產生一個CSR檔案。

註

或者,您也可以使用 Openssl 等工具產生 CSR 檔案,並可跳至步驟2:提交CSR檔案

步驟
  1. 選取功能表:設定[憑證]。

  2. 從Array Management(陣列管理)選項卡中選擇*完整的csr*。

    註

    如果看到對話方塊提示您接受第二個控制器的自我簽署憑證、請按一下*「接受自我簽署的憑證*」繼續。

  3. 輸入下列資訊、然後按一下*下一步*:

    • 組織:貴公司或組織的完整法定名稱。包括尾碼、例如Inc.或Corp.

    • 組織單位(選用):您組織處理憑證的部門。

    • 城市/地區:儲存陣列或企業所在的城市。

    • 州/地區(選用):儲存陣列或業務所在的州或地區。

    • 國家ISO代碼:您所在國家/地區的兩位數ISO(國際標準化組織)代碼、例如US。

    警告

    某些欄位可能會預先填入適當的資訊、例如控制器的IP位址。除非您確定預先填入的值不正確、否則請勿變更。例如、如果您尚未完成CSR、則控制器IP位址會設為「'localhost.」 在此情況下、您必須將「'localhost'」變更為控制器的DNS名稱或IP位址。

  4. 驗證或輸入儲存陣列中控制器A的下列資訊:

    • 控制器一般名稱-預設會顯示控制器A的IP位址或DNS名稱。請確定此位址正確無誤、而且必須完全符合您輸入的內容、才能在瀏覽器中存取System Manager。DNS名稱不能以萬用字元開頭。

    • * 控制器替代 IP 位址 * — 如果一般名稱是 IP 位址,您可以選擇性地輸入控制器 A 的任何其他 IP 位址或別名。對於多個項目,請使用以逗號分隔的格式。

    • * 控制器替代 DNS 名稱 * — 如果一般名稱是 DNS 名稱,請輸入控制器 A 的任何其他 DNS 名稱。若為多個項目,請使用逗號分隔格式。如果沒有替代DNS名稱、但您在第一個欄位中輸入DNS名稱、請在此處複製該名稱。DNS名稱不能以萬用字元開頭。如果儲存陣列只有一個控制器、則可使用* Finish(完成)*按鈕。

      如果儲存陣列有兩個控制器、則可使用* Next*按鈕。

    註

    當您初次建立CSR要求時、請勿按一下*跳過此步驟*連結。此連結是在錯誤恢復情況下提供的。在極少數情況下、CSR要求可能會在一個控制器上失敗、但在另一個控制器上失敗。此連結可讓您跳過在控制器A上建立CSR要求的步驟(如果已定義)、然後繼續下一步、在控制器B上重新建立CSR要求

  5. 如果只有一個控制器、請按一下「完成」。如果有兩個控制器、請按「下一步」輸入控制器B的資訊(與上述相同)、然後按一下「完成」。

    對於單一控制器、一個CSR檔案會下載到您的本機系統。對於雙控制器、會下載兩個CSR檔案。下載的資料夾位置取決於您的瀏覽器。

  6. 前往 步驟2:提交CSR檔案

步驟2:提交CSR檔案

建立憑證簽署要求(CSR)檔案之後、請將檔案傳送至憑證授權單位(CA)。E系列系統要求簽署的憑證使用PEE格式(Base64 Ascii編碼)、其中包含下列檔案類型:PEE、.CRT、.cer或.key。

步驟
  1. 找到下載的CSR檔案。

  2. 將CSR檔案提交給CA(例如、Verisign或Digiting)、並以PEV格式要求簽署的憑證。

    警告
    • 將 CSR 檔案提交給 CA 之後,請勿重新產生其他 CSR 檔案。 *每當您產生CSR時、系統都會建立私密與公開金鑰配對。公開金鑰是CSR的一部分、而私密金鑰則保留在系統的Keystore中。當您收到簽署的憑證並匯入時、系統會確保私密金鑰和公開金鑰都是原始配對。如果金鑰不符、簽署的憑證將無法運作、您必須向CA要求新的憑證。

  3. 當 CA 傳回簽署的憑證時,請移至步驟 3 :匯入控制器的簽署憑證

步驟 3 :匯入控制器的簽署憑證

從憑證授權單位(CA)收到簽署的憑證後、請匯入控制器的檔案。

開始之前
  • CA傳回簽署的憑證檔案。這些檔案包括根憑證、一或多個中繼憑證及伺服器憑證。

  • 如果CA提供鏈結的憑證檔案(例如.p7b檔案)、您必須將鏈結的檔案解壓縮至個別檔案:根憑證、一或多個中繼憑證、以及識別控制器的伺服器憑證。您可以使用 Windows certmgr 公用程式來解壓縮檔案(按一下滑鼠右鍵,然後選取功能表:所有工作 [ 匯出 ] )。建議使用Base 64編碼。匯出完成後、會針對鏈中的每個憑證檔案顯示一個CER.檔案。

  • 您已將憑證檔案複製到存取System Manager的主機系統。

步驟
  1. 選取功能表:設定[憑證]

  2. 從Array Management(陣列管理)選項卡中選擇* Import(匯入)

    隨即開啟一個對話方塊、用於匯入憑證檔案。

  3. 按一下*瀏覽*按鈕、先選取根和中繼憑證檔案、然後選取控制器的每個伺服器憑證。兩個控制器的根和中間檔案相同。每個控制器只有伺服器憑證是唯一的。如果您是從外部工具產生CSR、也必須匯入與CSR一起建立的私密金鑰檔案。

    檔案名稱會顯示在對話方塊中。

  4. 按一下*匯入*。

    檔案會上傳並驗證。

結果

工作階段會自動終止。您必須重新登入、憑證才能生效。當您再次登入時、新的CA簽署憑證會用於您的工作階段。