Skip to main content
SANtricity software
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 SANtricity System Manager 中,對控制器使用 CA 簽署的憑證

PDF

您可以取得 CA 簽章證書,用於在控制器和用於存取 SANtricity System Manager 的瀏覽器之間進行安全通訊。

開始之前

  • 您必須使用具有 Security admin 權限的使用者設定檔登入。否則、憑證功能將不會顯示。

  • 您必須知道每個控制器的 IP 位址或 DNS 名稱。

關於此任務

使用 CA 簽署的憑證是一個三步驟程序。

步驟 1:完成控制器的 CSR

您必須先為儲存陣列中的每個控制器產生憑證簽署要求(CSR)檔案。

關於此任務

本任務介紹如何從 System Manager 產生 CSR 檔案。CSR 提供有關您組織的資訊,以及控制器的 IP 位址或 DNS 名稱。執行此任務時,如果儲存陣列只有一個控制器,則會產生一個 CSR 檔案;如果有兩個控制器,則會產生兩個 CSR 檔案。

註

或者,您可以使用 OpenSSL 等工具產生 CSR 檔案,然後跳到 步驟 2:提交 CSR 檔案
步驟

  1. 選擇功能表:Settings [ Certificates ]。

  2. 從陣列管理標籤中,選取 Complete CSR

    註

    如果出現對話方塊提示您接受第二個控制器的自簽名證書,請按一下 Accept Self-Signed Certificate 繼續。

  3. 輸入以下資訊,然後按一下 Next

    • 組織名稱 — 貴公司或組織的完整法定名稱。請包含後綴,例如 Inc. 或 Corp.。

    • 組織單位(選用) — 貴組織中負責處理憑證的部門。

    • City/Locality — 您的儲存陣列或業務所在的城市。

    • 州 / 地區(選用) — 您的儲存陣列或企業所在的州或地區。

    • 國家 / 地區 ISO 代碼 — 您所在國家 / 地區的兩位數 ISO(International Organization for Standardization)代碼,例如 US。

    警告

    某些欄位可能已預先填入了相關訊息,例如控制器的 IP 位址。除非您確定預填值不正確,否則請勿變更它們。例如,如果您尚未完成 CSR,則控制器 IP 位址將設定為「localhost.」。在這種情況下,您必須將「localhost」變更為控制器的 DNS 名稱或 IP 位址。

  4. 請核實或輸入儲存陣列中控制器 A 的以下資訊:

    • 控制器 A 通用名稱 — 預設會顯示控制器 A 的 IP 位址或 DNS 名稱。請確保此位址正確;它必須與您在瀏覽器中存取 System Manager 時輸入的內容完全一致。DNS 名稱不能以通配符開頭。

    • Controller A alternate IP addresses — 如果通用名稱是 IP 位址,您可以選擇輸入 Controller A 的任何其他 IP 位址或別名。對於多個條目,請使用逗號分隔格式。

    • 控制器 A 的備用 DNS 名稱 — 如果通用名稱是 DNS 名稱,請輸入控制器 A 的任何其他 DNS 名稱。多個名稱請使用逗號分隔。如果沒有備用 DNS 名稱,但您在第一個欄位中輸入了 DNS 名稱,請將該名稱複製到此處。DNS 名稱不能以通配符開頭。如果儲存陣列只有一個控制器,則 完成 按鈕可用。

      如果儲存陣列有兩個控制器,則 Next 按鈕可用。

    註

    首次建立 CSR 請求時,請勿點選 Skip this step 連結。此連結僅在錯誤恢復情況下提供。在極少數情況下,CSR 請求可能在一個控制器上失敗,但在另一個控制器上成功。如果控制器 A 上已定義 CSR 請求,此連結可讓您跳過在控制器 A 上建立 CSR 請求的步驟,並繼續執行下一步,在控制器 B 上重新建立 CSR 請求。

  5. 如果只有一個控制器,請按一下 Finish。如果有兩個控制器,請按一下 Next 輸入控制器 B 的資訊(與上述相同),然後按一下 Finish

    對於單一控制器,系統會將一個 CSR 檔案下載到您的本機系統。對於雙控制器,系統會下載兩個 CSR 檔案。下載的資料夾位置取決於您的瀏覽器。

  6. 前往 步驟 2:提交 CSR 檔案

步驟 2:提交 CSR 檔案

建立憑證簽署要求 (CSR) 檔案後,將檔案傳送給憑證授權單位 (CA)。E-Series 系統要求簽章憑證採用 PEM 格式(Base64 ASCII 編碼),包括下列檔案類型:pem、.crt、.cer 或 .key。

步驟

  1. 找到已下載的 CSR 檔案。

  2. 將 CSR 檔案提交給 CA (例如 Verisign 或 DigiCert),並要求 PEM 格式的簽署憑證。

    警告

    *向 CA 提交 CSR 檔案後,請勿重新產生另一個 CSR 檔案。*每次產生 CSR 時,系統都會建立私鑰和公鑰對。公鑰是 CSR 的一部分,而私鑰則保存在系統的金鑰庫中。當您收到簽署的憑證並匯入時,系統會確保私鑰和公鑰都是原始金鑰對。如果金鑰不匹配,簽署的憑證將無法使用,您必須向 CA 申請新的憑證。

  3. 當 CA 返回已簽署的憑證後,請前往 步驟 3:匯入控制器的簽署憑證

步驟 3:匯入控制器的簽署憑證

從憑證授權單位 (CA) 收到簽署憑證後、將檔案匯入控制器。

開始之前

  • CA 傳回了已簽署的憑證檔案。這些檔案包括根憑證、一個或多個中繼憑證以及伺服器憑證。

  • 如果 CA 提供鏈式憑證檔案(例如 .p7b 檔案),您必須將鏈式檔案解壓縮為個別檔案:根憑證、一個或多個中繼憑證,以及識別控制器的伺服器憑證。您可以使用 Windows certmgr 公用程式來解壓縮檔案(按一下滑鼠右鍵並選取功能表:所有工作 [匯出])。建議使用 Base-64 編碼。匯出完成後,鏈中的每個憑證檔案都會顯示一個 CER 檔案。

  • 您已將憑證檔案複製到可存取 System Manager 的主機系統。

步驟

  1. 選擇選單:Settings [ Certificates ]

  2. 從陣列管理標籤中、選取 Import

    此時會開啟一個對話方塊,用於匯入憑證檔案。

  3. 點選 Browse 按鈕,先選擇根憑證和中間憑證檔案,然後選擇每個控制器的伺服器憑證。兩個控制器的根憑證和中間憑證檔案相同。只有伺服器憑證對每個控制器而言是唯一的。如果您使用外部工具產生了 CSR,則也必須匯入與 CSR 一起建立的私密金鑰檔案。

    檔案名稱會顯示在對話方塊中。

  4. 點選 Import

    檔案已上傳並通過驗證。

結果

工作階段會自動終止。您必須重新登入,憑證才會生效。當您重新登入時,新的 CA 簽署憑證將用於您的工作階段。