مدیریت گواهی VASA در Dell PowerStore بخشی مهم از نگهداری ارتباط امن میان PowerStore، VASA Provider و vCenter Server است. در این راهنما، مراحل ایجاد CSR، وارد کردن گواهی امضاشده توسط CA، تغییر نوع گواهی و تمدید گواهیهای مرتبط با VASA بررسی میشود.
این مقاله ادامه قسمت دوم راهنمای زیرساخت مجازیسازی PowerStore است و روی چرخه عمر گواهی VASA تمرکز دارد. پس از مطالعه این بخش، مسیر ایجاد Certificate Signing Request، Import گواهی CA، فعالسازی Retain VASA Certificate، تغییر بین گواهی self-signed و third-party و تمدید گواهیهای مرتبط با vCenter روشن میشود.
- گواهی VASA روی ارتباط امن میان PowerStore، VASA Provider و vCenter اثر مستقیم دارد.
- در PowerStoreOS 3.5 و نسخههای بعدی، امکان استفاده از گواهی امضاشده توسط CA شخص ثالث وجود دارد.
- برای دریافت گواهی CA، ابتدا باید Certificate Signing Request یا CSR در PowerStore Manager ایجاد شود.
- برای جلوگیری از بازنویسی گواهی VASA Server توسط vCenter، گزینه Retain VASA Certificate اهمیت دارد.
- تغییر از گواهی self-signed به third-party نیازمند حذف و ثبت مجدد PowerStore بهعنوان VASA Provider در vCenter است.
- تمدید گواهیها بسته به نوع گواهی ممکن است از سمت vCenter یا PowerStore انجام شود.
- مسیر مطالعه این راهنما
- نقش گواهی VASA در ارتباط PowerStore و vCenter
- قابلیتهای مدیریت گواهی VASA در PowerStoreOS 3.5 و نسخههای بعدی
- پیشنیازهای ایجاد CSR برای گواهی VASA
- مراحل ایجاد Certificate Signing Request در PowerStore Manager
- پیشنیازهای وارد کردن گواهی CA برای VASA Provider
- مراحل وارد کردن گواهی سرور امضاشده توسط CA
- تغییر از گواهی self-signed به گواهی VASA شخص ثالث
- بازگشت از گواهی شخص ثالث به گواهی self-signed
- تمدید گواهی VASA و گواهیهای مرتبط با vCenter
- نکات فنی و هشدارهای عملیاتی
- جمعبندی مسیر امن مدیریت گواهی VASA
- سوالات پرتکرار
مسیر مطالعه این راهنما
این مقاله قسمت سوم از مسیر آموزشی زیرساخت مجازیسازی Dell PowerStore است. در قسمت قبلی، اتصال vCenter Server و ثبت VASA Provider بررسی شد. در این قسمت، تمرکز روی مدیریت گواهی VASA، ایجاد CSR، Import گواهی CA و تمدید گواهیهای مرتبط است.
در قسمت بعدی، پایش و مدیریت VM و vVol در PowerStore Manager بررسی میشود. بنابراین بهتر است این مقاله پس از مطالعه بخش مربوط به اتصال vCenter و ثبت VASA Provider دنبال شود.
بازگشت به بالا ↑
نقش گواهی VASA در ارتباط PowerStore و vCenter
VASA Provider مؤلفهای است که باعث میشود vSphere بتواند قابلیتها، ویژگیها و وضعیت سلامت منابع Storage روی کلاستر PowerStore را تشخیص دهد. وقتی این ارتباط در محیط vCenter استفاده میشود، وضعیت گواهی VASA میتواند روی دسترسپذیری قابلیتهای مرتبط با VASA اثر مستقیم داشته باشد.
در PowerStore، گواهی VASA میتواند بهصورت self-signed استفاده شود یا با گواهی امضاشده توسط Certificate Authority شخص ثالث جایگزین شود. انتخاب نوع گواهی به سناریوی عملیاتی، سیاست امنیتی سازمان و نحوه ثبت vCenter Serverها وابسته است.
VASA Provider به vSphere کمک میکند اطلاعات پایه درباره سیستم Storage، منابع Storage، Storage Policyها، Properties و Health Status را از کلاستر PowerStore دریافت کند.
بازگشت به بالا ↑
قابلیتهای مدیریت گواهی VASA در PowerStoreOS 3.5 و نسخههای بعدی
در PowerStoreOS نسخه 3.5 و نسخههای بعدی، امکان وارد کردن و استفاده از گواهی ارائهشده توسط کاربر و امضاشده توسط Certificate Authority شخص ثالث وجود دارد. این گواهی برای جایگزینی گواهی self-signed مورد استفاده PowerStore VASA به کار میرود.
این قابلیت اجازه میدهد مدیریت گواهی VASA از مسیرهای PowerStore Manager، REST API یا CLI انجام شود. در این مقاله، مسیر اجرایی PowerStore Manager پوشش داده میشود.
بازگشت به بالا ↑
پیشنیازهای ایجاد CSR برای گواهی VASA
پیش از ایجاد Certificate Signing Request، باید اطلاعات موردنیاز برای درخواست گواهی آماده باشد. این اطلاعات برای ساخت CSR استفاده میشود و باید پیش از شروع فرایند در دسترس ادمین قرار گیرد.
| مورد موردنیاز | توضیح |
|---|---|
| Common Name | نام اصلی مورد استفاده در درخواست گواهی |
| IP address | آدرس IP مربوط به درخواست |
| DNS Name | نام DNS؛ در صورت نیاز اختیاری است |
| Organization | نام سازمان |
| Organization Unit | واحد سازمانی |
| Locality | محل |
| State | استان یا ایالت |
| Country | کشور |
| Key Length | طول کلید مورد استفاده برای گواهی |
CSR برای Mutual Authentication Certificate استفاده میشود؛ گواهیای که در احراز هویت دوطرفه بین PowerStore و VASA Server کاربرد دارد.
پیش از شروع فرایند، اطلاعات هویتی و سازمانی گواهی را آماده کنید تا هنگام ایجاد CSR نیازی به توقف یا اصلاح چندباره درخواست نباشد.
بازگشت به بالا ↑
مراحل ایجاد Certificate Signing Request در PowerStore Manager
برای ایجاد CSR از طریق PowerStore Manager، ابتدا باید وارد بخش تنظیمات امنیتی مربوط به VASA Certificate شوید. این مسیر محل مدیریت گواهی VASA و تولید درخواست گواهی است.
مرحله ۱: در PowerStore Manager گزینه Settings را انتخاب کنید و در بخش Security وارد VASA Certificate شوید.
مرحله ۲: گزینه Generate CSR را انتخاب کنید تا پنل Generate CSR نمایش داده شود.
مرحله ۳: اطلاعات موردنیاز برای ایجاد CSR را وارد کنید.
مرحله ۴: روی Generate کلیک کنید.
مرحله ۵: پس از ایجاد CSR، پنل Generate CSR مراحل بعدی و متن گواهی را نمایش میدهد.
مرحله ۶: برای کپی کردن متن گواهی، گزینه Copy to clipboard را انتخاب کنید.
مرحله ۷: روی Close کلیک کنید.
مرحله ۸: Certificate Authority باید گواهی را امضا کند تا امکان وارد کردن آن بهعنوان Mutual Authentication Certificate وجود داشته باشد.
در این مرحله هنوز گواهی نهایی وارد PowerStore نشده است. خروجی این فرایند باید برای امضا در اختیار CA قرار گیرد.
بازگشت به بالا ↑
پیشنیازهای وارد کردن گواهی CA برای VASA Provider
پیش از Import گواهی سرور امضاشده توسط CA شخص ثالث، چند شرط باید بررسی شود. این مرحله اهمیت زیادی دارد، چون اگر vCenter به CA مربوط به گواهی واردشده اعتماد نداشته باشد، قابلیت VASA در دسترس نخواهد بود.
اگر vCenter به CA مربوط به گواهی واردشده اعتماد نداشته باشد، قابلیت VASA در دسترس نخواهد بود. این مورد باید پیش از Import گواهی بررسی شود.
بازگشت به بالا ↑
مراحل وارد کردن گواهی سرور امضاشده توسط CA
پس از آماده شدن گواهی امضاشده، میتوان آن را از طریق PowerStore Manager وارد کرد. هدف این مرحله جایگزینی یا تنظیم گواهی VASA Server با گواهی معتبر امضاشده توسط CA است.
مرحله ۱: در PowerStore Manager روی Settings کلیک کنید و از بخش Security وارد VASA Certificate شوید.
مرحله ۲: برای جلوگیری از بازنویسی گواهی VASA Server توسط vCenter، مطمئن شوید Toggle مربوط به Enable/Disable روی Enabled قرار دارد.
مرحله ۳: گزینه Import را انتخاب کنید تا پنل Import Server Certificate نمایش داده شود.
مرحله ۴: یکی از دو روش Import را انتخاب کنید: انتخاب فایل گواهی از طریق Select Certificate File یا وارد کردن متن گواهی از طریق Paste Certificate Text.
مرحله ۵: روی Import کلیک کنید.
پس از Import، جزئیات گواهی باید در صفحه VASA Certificate نمایش داده شود. همچنین ورودی VASA در صفحه Certificates از مسیر Settings > Security > Certificates باید با Service برابر VASA_HTTP و Scope برابر vasa مشخص شود.
پس از وارد کردن گواهی، بررسی نمایش جزئیات گواهی در صفحه VASA Certificate و صفحه Certificates کمک میکند وضعیت Import و شناسایی سرویس VASA کنترل شود.
بازگشت به بالا ↑
تغییر از گواهی self-signed به گواهی VASA شخص ثالث
در PowerStoreOS نسخه 3.5 و بعد از آن، میتوان بهجای گواهی self-signed پیشفرض PowerStore از گواهی VASA شخص ثالث استفاده کرد. این روش همچنین اجازه میدهد با استفاده از Root CA شخص ثالث، بیش از یک vCenter با کلاستر PowerStore ثبت شود.
اگر vVolهای موجود در PowerStore Manager توسط vCenter مدیریت میشوند، پس از حذف PowerStore بهعنوان VASA Provider در vCenter، vVolها ممکن است تا زمان ثبت مجدد بهصورت موقت Offline شوند.
مرحله ۱: در PowerStore Manager، با استفاده از رویه ایجاد CSR و وارد کردن گواهی CA، گواهی شخص ثالث را ایجاد و Import کنید.
مرحله ۲: پس از پذیرفته شدن گواهی در PowerStore، گزینه Retain VASA Certificate را روی Enabled قرار دهید.
مرحله ۳: در vCenter، گواهی CA شخص ثالث را Import کنید.
مرحله ۴: در vCenter، PowerStore را بهعنوان VASA Provider حذف کنید.
مرحله ۵: در vCenter، PowerStore را دوباره بهصورت دستی بهعنوان VASA Storage Provider اضافه کنید.
در صورت نیاز، پس از پایان کار میتوان در مسیر Settings > Security > Certificates بررسی کرد که گواهی VASA self-signed با Type برابر Client CACertificate و اطلاعات Issued By مربوط به VMware یا CA شخص ثالث نمایش داده شود.
بازگشت به بالا ↑
بازگشت از گواهی شخص ثالث به گواهی self-signed
اگر محیط قبلاً از گواهی VASA شخص ثالث استفاده کرده باشد، امکان بازگشت به گواهی VASA self-signed مربوط به PowerStore وجود دارد. این فرایند باید با قطع اتصال vCenter و پیکربندی مجدد انجام شود.
مرحله ۱: در PowerStore Manager، اتصال vCenter Server را قطع کنید.
مرحله ۲: در PowerStore Manager و در صفحه تنظیمات VASA Certificate، مطمئن شوید Retain VASA Certificate روی Enabled تنظیم شده است.
مرحله ۳: در vCenter، گواهی CA شخص ثالث را حذف کنید.
مرحله ۴: در PowerStore Manager، اتصال vCenter را دوباره پیکربندی کنید و PowerStore را بهعنوان VASA Provider ثبت کنید.
پس از انجام این مراحل، در صورت نیاز میتوان از مسیر Settings > Security > Certificates بررسی کرد که گواهی VASA self-signed با Type برابر Server Certificate و سازمان صادرکننده PowerStore نمایش داده شود.
بازگشت به بالا ↑
تمدید گواهی VASA و گواهیهای مرتبط با vCenter
PowerStore انواع مختلفی از گواهیهای مربوط به vCenter و VASA را از نظر Expiration پایش میکند. تمدید هر نوع گواهی مسیر خاص خود را دارد و نباید همه گواهیها با یک روش واحد تمدید شوند.
| نوع گواهی پایششده | مسیر تمدید یا اقدام لازم |
|---|---|
| VASA server self-signed and retained | vCenter باید از PowerStore دوباره register شود. |
| VASA server VMCA signed | گواهی VASA Server امضاشده توسط VMCA برای VMCA در vCenter تمدید شود. |
| VASA server third-party signed | گواهی باید در PowerStore وارد شود. |
| VASA server VMCA common | گواهی باید در PowerStore وارد شود. |
| VMCA CA client validation | گواهی از vCenter تمدید شود. |
| vCenter connection server CA certificate | گواهی از vCenter تمدید شود و سپس گواهی تمدیدشده در PowerStore بهروزرسانی شود. |
این تفکیک کمک میکند ادمین بداند تمدید گواهی باید از سمت vCenter انجام شود یا از سمت PowerStore. برای گواهی شخص ثالث یا VMCA common، گواهی باید در PowerStore وارد شود. برای گواهی self-signed، vCenter از PowerStore دوباره register میشود.
بازگشت به بالا ↑
نکات فنی و هشدارهای عملیاتی
فعال بودن Retain VASA Certificate زمانی اهمیت دارد که ادمین بخواهد از بازنویسی گواهی VASA Server توسط vCenter جلوگیری کند. در سناریوی Import گواهی شخص ثالث، این گزینه باید با دقت بررسی شود.
در زمان تغییر از self-signed به گواهی شخص ثالث، حذف PowerStore بهعنوان VASA Provider از vCenter و ثبت مجدد آن بخشی از فرایند است. اگر vVolهای موجود توسط vCenter مدیریت شوند، احتمال Offline شدن موقت آنها تا زمان ثبت مجدد وجود دارد.
در سناریوی بازگشت از گواهی شخص ثالث به self-signed، ابتدا اتصال vCenter Server در PowerStore Manager قطع میشود و پس از حذف گواهی CA شخص ثالث از vCenter، اتصال دوباره پیکربندی میشود.
گزینه Retain VASA Certificate برای جلوگیری از بازنویسی گواهی VASA Server توسط vCenter استفاده میشود.
در زمان حذف PowerStore بهعنوان VASA Provider، vVolهای مدیریتشده توسط vCenter ممکن است تا زمان ثبت مجدد موقتاً Offline شوند.
بازگشت به بالا ↑
جمعبندی مسیر امن مدیریت گواهی VASA
مدیریت گواهی VASA در Dell PowerStore باید بهصورت مرحلهای انجام شود: ابتدا CSR ایجاد میشود، سپس گواهی توسط CA امضا و در PowerStore وارد میشود، بعد گزینه Retain VASA Certificate برای جلوگیری از بازنویسی بررسی میشود و در صورت نیاز، VASA Provider در vCenter دوباره ثبت میشود.
برای نگهداری بلندمدت این ارتباط، تمدید گواهیها باید بر اساس نوع گواهی انجام شود. برخی گواهیها از vCenter تمدید میشوند، برخی باید در PowerStore وارد شوند و برای برخی سناریوها ثبت مجدد vCenter از PowerStore لازم است.
برای ادامه مسیر، قسمت چهارم با موضوع پایش و مدیریت VM و vVol در Dell PowerStore را پس از انتشار مطالعه کنید.
سوالات پرتکرار
آیا در Dell PowerStore میتوان گواهی self-signed VASA را با گواهی CA جایگزین کرد؟
بله. در PowerStoreOS نسخه 3.5 و نسخههای بعدی میتوان گواهی ارائهشده توسط کاربر و امضاشده توسط Certificate Authority شخص ثالث را برای جایگزینی گواهی self-signed مورد استفاده PowerStore VASA وارد کرد.
CSR در مدیریت گواهی VASA چه کاربردی دارد؟
CSR برای ایجاد Mutual Authentication Certificate استفاده میشود. این گواهی در احراز هویت دوطرفه بین PowerStore و VASA Server کاربرد دارد و پس از تولید باید توسط Certificate Authority امضا شود.
چرا Retain VASA Certificate اهمیت دارد؟
این گزینه کمک میکند گواهی VASA Server توسط vCenter بازنویسی نشود. هنگام استفاده از گواهی شخص ثالث، فعال بودن این گزینه بخشی مهم از حفظ گواهی واردشده است.
اگر vCenter به CA گواهی واردشده اعتماد نداشته باشد چه میشود؟
در این حالت قابلیت VASA در دسترس نخواهد بود. پیش از Import گواهی در PowerStore، باید اطمینان حاصل شود که vCenter به CA مربوط به گواهی واردشده اعتماد دارد.
آیا تغییر از self-signed به گواهی شخص ثالث ممکن است روی vVolها اثر بگذارد؟
بله. اگر vVolهای موجود توسط vCenter مدیریت شوند، پس از حذف PowerStore بهعنوان VASA Provider در vCenter، vVolها ممکن است تا زمان ثبت مجدد بهصورت موقت Offline شوند.
تمدید گواهی VASA همیشه از داخل PowerStore انجام میشود؟
خیر. مسیر تمدید به نوع گواهی بستگی دارد. برخی گواهیها از vCenter تمدید میشوند، برخی باید در PowerStore وارد شوند و در سناریوی self-signed ممکن است ثبت مجدد vCenter از PowerStore لازم باشد.
بازگشت به بالا ↑
HPE
DELL
Broadcom
HPE