Dell PowerStore Virtualization Guide
مدیریت گواهی VASA در Dell PowerStore؛ قسمت سوم

مدیریت گواهی VASA در Dell PowerStore بخشی مهم از نگهداری ارتباط امن میان PowerStore، VASA Provider و vCenter Server است. در این راهنما، مراحل ایجاد CSR، وارد کردن گواهی امضاشده توسط CA، تغییر نوع گواهی و تمدید گواهی‌های مرتبط با VASA بررسی می‌شود.

خلاصه مقاله

این مقاله ادامه قسمت دوم راهنمای زیرساخت مجازی‌سازی PowerStore است و روی چرخه عمر گواهی VASA تمرکز دارد. پس از مطالعه این بخش، مسیر ایجاد Certificate Signing Request، Import گواهی CA، فعال‌سازی Retain VASA Certificate، تغییر بین گواهی self-signed و third-party و تمدید گواهی‌های مرتبط با vCenter روشن می‌شود.

زمان مطالعه: حدود ۱۲ دقیقه سطح مقاله: تخصصی موضوع: VASA Certificate دسته‌بندی: Virtualization / Storage
نکات کلیدی مقاله
  • گواهی VASA روی ارتباط امن میان PowerStore، VASA Provider و vCenter اثر مستقیم دارد.
  • در PowerStoreOS 3.5 و نسخه‌های بعدی، امکان استفاده از گواهی امضاشده توسط CA شخص ثالث وجود دارد.
  • برای دریافت گواهی CA، ابتدا باید Certificate Signing Request یا CSR در PowerStore Manager ایجاد شود.
  • برای جلوگیری از بازنویسی گواهی VASA Server توسط vCenter، گزینه Retain VASA Certificate اهمیت دارد.
  • تغییر از گواهی self-signed به third-party نیازمند حذف و ثبت مجدد PowerStore به‌عنوان VASA Provider در vCenter است.
  • تمدید گواهی‌ها بسته به نوع گواهی ممکن است از سمت vCenter یا PowerStore انجام شود.

مسیر مطالعه این راهنما

این مقاله قسمت سوم از مسیر آموزشی زیرساخت مجازی‌سازی Dell PowerStore است. در قسمت قبلی، اتصال vCenter Server و ثبت VASA Provider بررسی شد. در این قسمت، تمرکز روی مدیریت گواهی VASA، ایجاد CSR، Import گواهی CA و تمدید گواهی‌های مرتبط است.

در قسمت بعدی، پایش و مدیریت VM و vVol در PowerStore Manager بررسی می‌شود. بنابراین بهتر است این مقاله پس از مطالعه بخش مربوط به اتصال vCenter و ثبت VASA Provider دنبال شود.

قسمت فعلی
مدیریت گواهی VASA در Dell PowerStore
قسمت بعدی
پایش و مدیریت VM و vVol در Dell PowerStore
جمع‌بندی این بخش: این مقاله روی مرحله بعد از ثبت VASA Provider تمرکز دارد و چرخه مدیریت گواهی VASA را پوشش می‌دهد. 
بازگشت به بالا ↑

نقش گواهی VASA در ارتباط PowerStore و vCenter

VASA Provider مؤلفه‌ای است که باعث می‌شود vSphere بتواند قابلیت‌ها، ویژگی‌ها و وضعیت سلامت منابع Storage روی کلاستر PowerStore را تشخیص دهد. وقتی این ارتباط در محیط vCenter استفاده می‌شود، وضعیت گواهی VASA می‌تواند روی دسترس‌پذیری قابلیت‌های مرتبط با VASA اثر مستقیم داشته باشد.

در PowerStore، گواهی VASA می‌تواند به‌صورت self-signed استفاده شود یا با گواهی امضاشده توسط Certificate Authority شخص ثالث جایگزین شود. انتخاب نوع گواهی به سناریوی عملیاتی، سیاست امنیتی سازمان و نحوه ثبت vCenter Serverها وابسته است.

تعریف کاربردی

VASA Provider به vSphere کمک می‌کند اطلاعات پایه درباره سیستم Storage، منابع Storage، Storage Policyها، Properties و Health Status را از کلاستر PowerStore دریافت کند.

جمع‌بندی این بخش: گواهی VASA فقط یک تنظیم امنیتی جداگانه نیست؛ این گواهی بخشی از ارتباط عملیاتی میان PowerStore، vCenter و قابلیت‌های مبتنی بر VASA است. 
بازگشت به بالا ↑

قابلیت‌های مدیریت گواهی VASA در PowerStoreOS 3.5 و نسخه‌های بعدی

در PowerStoreOS نسخه 3.5 و نسخه‌های بعدی، امکان وارد کردن و استفاده از گواهی ارائه‌شده توسط کاربر و امضاشده توسط Certificate Authority شخص ثالث وجود دارد. این گواهی برای جایگزینی گواهی self-signed مورد استفاده PowerStore VASA به کار می‌رود.

این قابلیت اجازه می‌دهد مدیریت گواهی VASA از مسیرهای PowerStore Manager، REST API یا CLI انجام شود. در این مقاله، مسیر اجرایی PowerStore Manager پوشش داده می‌شود.

عملیات قابل انجام
ایجاد Certificate Signing Request، وارد کردن گواهی امضاشده توسط CA و نگه‌داشتن گواهی واردشده برای جلوگیری از بازنویسی توسط vCenter.
سناریوی کاربردی
جایگزینی گواهی self-signed با گواهی شخص ثالث و آماده‌سازی محیط برای استفاده از Root CA شخص ثالث در ارتباط با vCenter.
جمع‌بندی این بخش: از PowerStoreOS 3.5 به بعد، مدیریت گواهی VASA انعطاف‌پذیرتر شده و امکان استفاده از گواهی CA شخص ثالث فراهم است. 
بازگشت به بالا ↑

پیش‌نیازهای ایجاد CSR برای گواهی VASA

پیش از ایجاد Certificate Signing Request، باید اطلاعات موردنیاز برای درخواست گواهی آماده باشد. این اطلاعات برای ساخت CSR استفاده می‌شود و باید پیش از شروع فرایند در دسترس ادمین قرار گیرد.

اطلاعات موردنیاز برای ایجاد CSR
مورد موردنیازتوضیح
Common Nameنام اصلی مورد استفاده در درخواست گواهی
IP addressآدرس IP مربوط به درخواست
DNS Nameنام DNS؛ در صورت نیاز اختیاری است
Organizationنام سازمان
Organization Unitواحد سازمانی
Localityمحل
Stateاستان یا ایالت
Countryکشور
Key Lengthطول کلید مورد استفاده برای گواهی

CSR برای Mutual Authentication Certificate استفاده می‌شود؛ گواهی‌ای که در احراز هویت دوطرفه بین PowerStore و VASA Server کاربرد دارد.

نکته

پیش از شروع فرایند، اطلاعات هویتی و سازمانی گواهی را آماده کنید تا هنگام ایجاد CSR نیازی به توقف یا اصلاح چندباره درخواست نباشد.

جمع‌بندی این بخش: ایجاد CSR نیازمند آماده بودن اطلاعات هویتی، شبکه‌ای و سازمانی است و خروجی آن برای امضا در اختیار CA قرار می‌گیرد. 
بازگشت به بالا ↑

مراحل ایجاد Certificate Signing Request در PowerStore Manager

برای ایجاد CSR از طریق PowerStore Manager، ابتدا باید وارد بخش تنظیمات امنیتی مربوط به VASA Certificate شوید. این مسیر محل مدیریت گواهی VASA و تولید درخواست گواهی است.

مراحل ایجاد CSR

مرحله ۱: در PowerStore Manager گزینه Settings را انتخاب کنید و در بخش Security وارد VASA Certificate شوید.

مرحله ۲: گزینه Generate CSR را انتخاب کنید تا پنل Generate CSR نمایش داده شود.

مرحله ۳: اطلاعات موردنیاز برای ایجاد CSR را وارد کنید.

مرحله ۴: روی Generate کلیک کنید.

مرحله ۵: پس از ایجاد CSR، پنل Generate CSR مراحل بعدی و متن گواهی را نمایش می‌دهد.

مرحله ۶: برای کپی کردن متن گواهی، گزینه Copy to clipboard را انتخاب کنید.

مرحله ۷: روی Close کلیک کنید.

مرحله ۸: Certificate Authority باید گواهی را امضا کند تا امکان وارد کردن آن به‌عنوان Mutual Authentication Certificate وجود داشته باشد.

در این مرحله هنوز گواهی نهایی وارد PowerStore نشده است. خروجی این فرایند باید برای امضا در اختیار CA قرار گیرد.

جمع‌بندی این بخش: خروجی Generate CSR گواهی نهایی نیست؛ متن CSR باید توسط Certificate Authority امضا شود و سپس به PowerStore برگردد. 
بازگشت به بالا ↑

پیش‌نیازهای وارد کردن گواهی CA برای VASA Provider

پیش از Import گواهی سرور امضاشده توسط CA شخص ثالث، چند شرط باید بررسی شود. این مرحله اهمیت زیادی دارد، چون اگر vCenter به CA مربوط به گواهی واردشده اعتماد نداشته باشد، قابلیت VASA در دسترس نخواهد بود.

آماده بودن CSR
فایل CSR باید ایجاد و دانلود شده باشد و برای امضا به سرور CA شخص ثالث ارسال شده باشد.
امضای گواهی توسط CA
CA باید گواهی را امضا کرده باشد تا بتوان آن را به‌عنوان Mutual Authentication Certificate وارد کرد.
اعتماد vCenter به CA
vCenter باید به CA مربوط به گواهی واردشده اعتماد داشته باشد؛ در غیر این صورت قابلیت VASA در دسترس نخواهد بود.
دسترسی به فایل یا متن گواهی
ادمین باید محل فایل گواهی را بداند یا متن گواهی را برای Copy و Paste در اختیار داشته باشد.
هشدار

اگر vCenter به CA مربوط به گواهی واردشده اعتماد نداشته باشد، قابلیت VASA در دسترس نخواهد بود. این مورد باید پیش از Import گواهی بررسی شود.

جمع‌بندی این بخش: Import گواهی فقط زمانی کامل و قابل استفاده است که CSR امضا شده باشد و vCenter به CA صادرکننده اعتماد داشته باشد. 
بازگشت به بالا ↑

مراحل وارد کردن گواهی سرور امضاشده توسط CA

پس از آماده شدن گواهی امضاشده، می‌توان آن را از طریق PowerStore Manager وارد کرد. هدف این مرحله جایگزینی یا تنظیم گواهی VASA Server با گواهی معتبر امضاشده توسط CA است.

مراحل Import گواهی CA

مرحله ۱: در PowerStore Manager روی Settings کلیک کنید و از بخش Security وارد VASA Certificate شوید.

مرحله ۲: برای جلوگیری از بازنویسی گواهی VASA Server توسط vCenter، مطمئن شوید Toggle مربوط به Enable/Disable روی Enabled قرار دارد.

مرحله ۳: گزینه Import را انتخاب کنید تا پنل Import Server Certificate نمایش داده شود.

مرحله ۴: یکی از دو روش Import را انتخاب کنید: انتخاب فایل گواهی از طریق Select Certificate File یا وارد کردن متن گواهی از طریق Paste Certificate Text.

مرحله ۵: روی Import کلیک کنید.

پس از Import، جزئیات گواهی باید در صفحه VASA Certificate نمایش داده شود. همچنین ورودی VASA در صفحه Certificates از مسیر Settings > Security > Certificates باید با Service برابر VASA_HTTP و Scope برابر vasa مشخص شود.

نکته

پس از وارد کردن گواهی، بررسی نمایش جزئیات گواهی در صفحه VASA Certificate و صفحه Certificates کمک می‌کند وضعیت Import و شناسایی سرویس VASA کنترل شود.

جمع‌بندی این بخش: گواهی امضاشده را می‌توان از طریق فایل یا متن گواهی وارد کرد، اما پس از Import باید وضعیت آن در VASA Certificate و Certificates بررسی شود. 
بازگشت به بالا ↑

تغییر از گواهی self-signed به گواهی VASA شخص ثالث

در PowerStoreOS نسخه 3.5 و بعد از آن، می‌توان به‌جای گواهی self-signed پیش‌فرض PowerStore از گواهی VASA شخص ثالث استفاده کرد. این روش همچنین اجازه می‌دهد با استفاده از Root CA شخص ثالث، بیش از یک vCenter با کلاستر PowerStore ثبت شود.

هشدار عملیاتی

اگر vVolهای موجود در PowerStore Manager توسط vCenter مدیریت می‌شوند، پس از حذف PowerStore به‌عنوان VASA Provider در vCenter، vVolها ممکن است تا زمان ثبت مجدد به‌صورت موقت Offline شوند.

مراحل تغییر به گواهی شخص ثالث

مرحله ۱: در PowerStore Manager، با استفاده از رویه ایجاد CSR و وارد کردن گواهی CA، گواهی شخص ثالث را ایجاد و Import کنید.

مرحله ۲: پس از پذیرفته شدن گواهی در PowerStore، گزینه Retain VASA Certificate را روی Enabled قرار دهید.

مرحله ۳: در vCenter، گواهی CA شخص ثالث را Import کنید.

مرحله ۴: در vCenter، PowerStore را به‌عنوان VASA Provider حذف کنید.

مرحله ۵: در vCenter، PowerStore را دوباره به‌صورت دستی به‌عنوان VASA Storage Provider اضافه کنید.

در صورت نیاز، پس از پایان کار می‌توان در مسیر Settings > Security > Certificates بررسی کرد که گواهی VASA self-signed با Type برابر Client CACertificate و اطلاعات Issued By مربوط به VMware یا CA شخص ثالث نمایش داده شود.

جمع‌بندی این بخش: تغییر به گواهی شخص ثالث فقط Import گواهی نیست؛ این فرایند شامل Retain کردن گواهی، اعتمادسازی در vCenter و ثبت مجدد PowerStore به‌عنوان VASA Provider است. 
بازگشت به بالا ↑

بازگشت از گواهی شخص ثالث به گواهی self-signed

اگر محیط قبلاً از گواهی VASA شخص ثالث استفاده کرده باشد، امکان بازگشت به گواهی VASA self-signed مربوط به PowerStore وجود دارد. این فرایند باید با قطع اتصال vCenter و پیکربندی مجدد انجام شود.

مراحل بازگشت به self-signed

مرحله ۱: در PowerStore Manager، اتصال vCenter Server را قطع کنید.

مرحله ۲: در PowerStore Manager و در صفحه تنظیمات VASA Certificate، مطمئن شوید Retain VASA Certificate روی Enabled تنظیم شده است.

مرحله ۳: در vCenter، گواهی CA شخص ثالث را حذف کنید.

مرحله ۴: در PowerStore Manager، اتصال vCenter را دوباره پیکربندی کنید و PowerStore را به‌عنوان VASA Provider ثبت کنید.

پس از انجام این مراحل، در صورت نیاز می‌توان از مسیر Settings > Security > Certificates بررسی کرد که گواهی VASA self-signed با Type برابر Server Certificate و سازمان صادرکننده PowerStore نمایش داده شود.

جمع‌بندی این بخش: بازگشت به گواهی self-signed نیازمند قطع اتصال vCenter، حذف گواهی CA شخص ثالث از vCenter و پیکربندی مجدد اتصال است. 
بازگشت به بالا ↑

تمدید گواهی VASA و گواهی‌های مرتبط با vCenter

PowerStore انواع مختلفی از گواهی‌های مربوط به vCenter و VASA را از نظر Expiration پایش می‌کند. تمدید هر نوع گواهی مسیر خاص خود را دارد و نباید همه گواهی‌ها با یک روش واحد تمدید شوند.

انواع گواهی‌های پایش‌شده و مسیر تمدید
نوع گواهی پایش‌شدهمسیر تمدید یا اقدام لازم
VASA server self-signed and retainedvCenter باید از PowerStore دوباره register شود.
VASA server VMCA signedگواهی VASA Server امضاشده توسط VMCA برای VMCA در vCenter تمدید شود.
VASA server third-party signedگواهی باید در PowerStore وارد شود.
VASA server VMCA commonگواهی باید در PowerStore وارد شود.
VMCA CA client validationگواهی از vCenter تمدید شود.
vCenter connection server CA certificateگواهی از vCenter تمدید شود و سپس گواهی تمدیدشده در PowerStore به‌روزرسانی شود.

این تفکیک کمک می‌کند ادمین بداند تمدید گواهی باید از سمت vCenter انجام شود یا از سمت PowerStore. برای گواهی شخص ثالث یا VMCA common، گواهی باید در PowerStore وارد شود. برای گواهی self-signed، vCenter از PowerStore دوباره register می‌شود.

جمع‌بندی این بخش: تمدید گواهی‌های VASA و vCenter بسته به نوع گواهی متفاوت است؛ بنابراین پیش از اقدام باید نوع گواهی شناسایی شود. 
بازگشت به بالا ↑

نکات فنی و هشدارهای عملیاتی

فعال بودن Retain VASA Certificate زمانی اهمیت دارد که ادمین بخواهد از بازنویسی گواهی VASA Server توسط vCenter جلوگیری کند. در سناریوی Import گواهی شخص ثالث، این گزینه باید با دقت بررسی شود.

در زمان تغییر از self-signed به گواهی شخص ثالث، حذف PowerStore به‌عنوان VASA Provider از vCenter و ثبت مجدد آن بخشی از فرایند است. اگر vVolهای موجود توسط vCenter مدیریت شوند، احتمال Offline شدن موقت آن‌ها تا زمان ثبت مجدد وجود دارد.

در سناریوی بازگشت از گواهی شخص ثالث به self-signed، ابتدا اتصال vCenter Server در PowerStore Manager قطع می‌شود و پس از حذف گواهی CA شخص ثالث از vCenter، اتصال دوباره پیکربندی می‌شود.

نکته

گزینه Retain VASA Certificate برای جلوگیری از بازنویسی گواهی VASA Server توسط vCenter استفاده می‌شود.

هشدار

در زمان حذف PowerStore به‌عنوان VASA Provider، vVolهای مدیریت‌شده توسط vCenter ممکن است تا زمان ثبت مجدد موقتاً Offline شوند.

جمع‌بندی این بخش: مهم‌ترین ریسک عملیاتی این بخش، بازنویسی ناخواسته گواهی و Offline شدن موقت vVolها در زمان ثبت مجدد VASA Provider است. 
بازگشت به بالا ↑

جمع‌بندی مسیر امن مدیریت گواهی VASA

مدیریت گواهی VASA در Dell PowerStore باید به‌صورت مرحله‌ای انجام شود: ابتدا CSR ایجاد می‌شود، سپس گواهی توسط CA امضا و در PowerStore وارد می‌شود، بعد گزینه Retain VASA Certificate برای جلوگیری از بازنویسی بررسی می‌شود و در صورت نیاز، VASA Provider در vCenter دوباره ثبت می‌شود.

برای نگهداری بلندمدت این ارتباط، تمدید گواهی‌ها باید بر اساس نوع گواهی انجام شود. برخی گواهی‌ها از vCenter تمدید می‌شوند، برخی باید در PowerStore وارد شوند و برای برخی سناریوها ثبت مجدد vCenter از PowerStore لازم است.

ادامه مسیر مطالعه

برای ادامه مسیر، قسمت چهارم با موضوع پایش و مدیریت VM و vVol در Dell PowerStore را پس از انتشار مطالعه کنید.

سوالات پرتکرار

پاسخ به سوالات پرتکرار
آیا در Dell PowerStore می‌توان گواهی self-signed VASA را با گواهی CA جایگزین کرد؟

بله. در PowerStoreOS نسخه 3.5 و نسخه‌های بعدی می‌توان گواهی ارائه‌شده توسط کاربر و امضاشده توسط Certificate Authority شخص ثالث را برای جایگزینی گواهی self-signed مورد استفاده PowerStore VASA وارد کرد.

CSR در مدیریت گواهی VASA چه کاربردی دارد؟

CSR برای ایجاد Mutual Authentication Certificate استفاده می‌شود. این گواهی در احراز هویت دوطرفه بین PowerStore و VASA Server کاربرد دارد و پس از تولید باید توسط Certificate Authority امضا شود.

چرا Retain VASA Certificate اهمیت دارد؟

این گزینه کمک می‌کند گواهی VASA Server توسط vCenter بازنویسی نشود. هنگام استفاده از گواهی شخص ثالث، فعال بودن این گزینه بخشی مهم از حفظ گواهی واردشده است.

اگر vCenter به CA گواهی واردشده اعتماد نداشته باشد چه می‌شود؟

در این حالت قابلیت VASA در دسترس نخواهد بود. پیش از Import گواهی در PowerStore، باید اطمینان حاصل شود که vCenter به CA مربوط به گواهی واردشده اعتماد دارد.

آیا تغییر از self-signed به گواهی شخص ثالث ممکن است روی vVolها اثر بگذارد؟

بله. اگر vVolهای موجود توسط vCenter مدیریت شوند، پس از حذف PowerStore به‌عنوان VASA Provider در vCenter، vVolها ممکن است تا زمان ثبت مجدد به‌صورت موقت Offline شوند.

تمدید گواهی VASA همیشه از داخل PowerStore انجام می‌شود؟

خیر. مسیر تمدید به نوع گواهی بستگی دارد. برخی گواهی‌ها از vCenter تمدید می‌شوند، برخی باید در PowerStore وارد شوند و در سناریوی self-signed ممکن است ثبت مجدد vCenter از PowerStore لازم باشد.

جمع‌بندی نهایی: اگر گواهی VASA درست مدیریت نشود، ارتباط امن و قابل اعتماد میان PowerStore، VASA Provider و vCenter می‌تواند تحت تأثیر قرار گیرد. اجرای مرحله‌ای CSR، Import گواهی، Retain کردن گواهی و تمدید صحیح بر اساس نوع گواهی، مسیر امن‌تری برای نگهداری زیرساخت مجازی‌سازی ایجاد می‌کند. 
بازگشت به بالا ↑
نیاز به بررسی تخصصی زیرساخت PowerStore دارید؟
اگر در حال طراحی یا نگهداری زیرساخت VMware مبتنی بر Dell PowerStore هستید، بررسی صحیح اتصال vCenter، وضعیت VASA Provider و چرخه عمر گواهی‌ها می‌تواند از اختلال‌های مدیریتی جلوگیری کند. برای دریافت مشاوره تخصصی در این زمینه، می‌توانید از طریق صفحه ارتباط با ما با کارشناسان آکو در ارتباط باشید.

ارتباط با کارشناسان آکو