OceanStor DeviceManager 服务器证书替换操作记录
文章目录50 节
OceanStor DeviceManager 服务器证书替换操作记录
1. 记录说明
本文记录一次 OceanStor DeviceManager 管理页面服务器证书替换的实操验证过程,供同事复现、补充截图和整理生产操作注意事项。
本文不是厂商官方指导文件,也不是直接面向所有环境的标准 SOP。生产环境执行前,应结合现场设备型号、版本、控制器状态、维护窗口和厂商手册再次确认。
该证书对应告警通常为:
DeviceManager的服务器证书即将过期该证书与 DeviceManager 页面“证书管理”中的“设备管理证书”“HTTPS证书”“FTPS证书”等不是同一对象。DeviceManager 服务器证书用于管理页面 HTTPS 服务本身,本文按 CLI 方式替换。
2. 适用范围
本文适用于以下设备类型:
OceanStor Dorado V3
OceanStor V3
OceanStor V5 非 Kunpeng 型号本文对应厂商手册中的路径:
4.6 DeviceManager证书
4.6.2 DeviceManager证书替换
OceanStor Dorado V3系列产品、OceanStor V3/OceanStor V5系列产品替换方法该类设备使用以下命令替换证书:
import ssl_certificate不适用场景:
| 场景 | 处理方式 |
|---|---|
| OceanStor V5 Kunpeng | 使用 replaceDMCert 路径,不使用本文主流程 |
| 页面中的“设备管理证书”过期 | 参考手册 4.2,不使用本文主流程 |
| 页面中的“HTTPS证书/FTPS证书”过期 | 参考对应证书导入路径,不使用本文主流程 |
2.1 控制器数量判断
以本文实验机 Dorado5000 V3 为例,正常硬件形态应按双控设备考虑。公开资料对 Dorado5000 V3 的典型配置描述为 two controllers,且单系统最大支持 two controllers。现场截图中的告警“系统无法监控控制器 B”也说明该实验环境存在控制器 B,只是当前不可监控。
生产示例中的 OceanStor 5800 V3 属于 OceanStor V3 中端存储,资料显示 5800 V3/6800 V3 控制框支持 dual controllers 或 4/6/8 多控制器扩展。因此生产手册不能只写单控制器步骤。
实际操作时不能只按型号推断在线控制器数量,最终以 showsysstatus 回显为准。凡是 status 为 normal 的控制器,都应完成 DeviceManager 服务器证书替换。若存在控制器离线、不可监控或非 normal,应先记录风险并处理控制器状态;否则该控制器恢复后可能仍使用旧证书。
参考资料:
- Huawei Support:OceanStor Dorado 3000/5000/6000 V3 产品文档,其中说明单控制框支持两个控制器。
- Huawei Storage Consolidation Solution Technical White Paper,其中说明 OceanStor 5800 V3/6800 V3 controller enclosure 支持 dual controllers 或 4/6/8 多控制器。
3. 风险和影响
替换 DeviceManager 服务器证书会影响管理页面 HTTPS 服务。替换过程中当前管理连接可能中断,重新打开 DeviceManager 后才会使用新证书。
多控制器设备必须逐控制器替换。若只替换当前管理 IP 所在控制器,控制器切换后可能仍使用旧证书,告警也可能不能完全消除。
官方指导里的关键点是:证书文件和私钥先上传到“管理 IP 所在节点”的 /home/permitdir,后续替换其他控制器时,不是把文件分别上传到每个控制器,也不是始终留在上传文件控制器上执行命令。应先跳转到待替换证书的控制器,再用 ip= 指向“上传文件所在控制器”的内部 IP,让当前控制器从上传文件控制器读取证书文件并完成替换。
如使用自签 CA,浏览器仍可能提示“不安全”。这是因为客户端未信任自签 CA,或证书未包含浏览器要求的 SAN 信息。本文目标是替换服务器证书并消除过期风险,不等同于让浏览器完全信任该证书。
生产环境操作前应确认维护窗口、管理 IP、控制器数量、管理员账号、当前系统时间和回退方式。
4. 准备事项
4.1 操作主机
推荐准备一台可以直连存储管理 IP 的 Linux 运维机进行操作。Linux 环境工具齐全、命令行为主,便于生成证书、上传文件和记录回显。
操作主机不强制限定为 Linux。满足以下条件的 macOS 或已安装 OpenSSH/OpenSSL 的 Windows 主机也可以使用:
| 条件 | 说明 |
|---|---|
| 网络 | 能直连存储管理 IP |
| OpenSSL | 用于生成根 CA、DeviceManager 私钥、CSR 和证书 |
| OpenSSH 客户端 | 用于 ssh、scp 或 sftp |
| 权限 | 具备阵列 admin 或等效权限 |
4.2 工具检查
在操作主机执行以下命令,确认 OpenSSL 和 OpenSSH 客户端可用:
openssl version
ssh -V
scp -V正常情况下应能看到 OpenSSL 版本和 OpenSSH 版本。
如果 scp -V 不支持版本输出,可执行以下命令确认路径存在:
command -v scp4.3 Linux 工具安装
如果操作主机未安装 OpenSSL 或 OpenSSH 客户端,可按 Linux 发行版执行对应安装命令。
Ubuntu / Debian:
sudo apt-get update
sudo apt-get install -y openssl openssh-clientRocky Linux / RHEL / CentOS:
sudo dnf install -y openssl openssh-clients若系统使用旧版 CentOS 且没有 dnf,可使用:
sudo yum install -y openssl openssh-clientsSUSE / openSUSE:
sudo zypper install -y openssl openssh安装完成后再次执行:
openssl version
ssh -V
command -v scp
4.4 信息准备
操作前应记录以下信息:
| 项目 | 示例 |
|---|---|
| 存储管理 IP | <存储管理IP> |
| DeviceManager 地址 | https://<存储管理IP>:8088 |
| admin 用户密码 | <admin密码> |
| 设备型号 | Dorado5000 V3 |
| 设备版本 | V300R002C00 |
| 当前设备时间 | YYYY-MM-DD HH:MM:SS UTC+08:00 |
| 当前 DeviceManager 证书到期时间 | YYYY-MM-DD HH:MM:SS |
| 控制器数量和当前控制器 ID | 通过 showsysstatus 确认 |
4.5 介质清单
本次替换需要准备以下文件:
| 文件 | 用途 | 是否上传到阵列 |
|---|---|---|
client-cert.pem | 新的 DeviceManager 服务器证书 | 是 |
dm_key.pem | 新证书对应私钥 | 是 |
root-cert.crt | 根 CA 证书,用于本地校验或客户端信任 | 按需 |
root-key.key | 根 CA 私钥 | 否,严禁上传 |
openssl-ca.cnf | OpenSSL 证书生成配置 | 否 |
root-key.key 应妥善保存,不得上传到阵列,不得随工单或普通附件流转。
上传位置按官方步骤理解为“管理 IP 所在节点”的 /home/permitdir。逐控制器替换时,其他控制器不一定能直接在本地路径看到这两个文件;后续命令通过 ip= 指定上传文件所在控制器的内部 IP 来读取文件。
5. 证书生成逻辑
5.1 时间校验原则
阵列导入证书时会校验证书有效期。若设备系统时间早于证书 notBefore,证书会被认为“尚未生效”;若设备系统时间晚于证书 notAfter,证书会被认为“已过期”。
因此,生成证书前必须先确认设备系统时间。
生产环境通常使用当前真实时间。若实验环境因 License 原因将设备时间回拨到较早年份,则证书必须显式设置较早的生效时间。
建议规则:
证书 notBefore <= 当前设备时间
证书 notAfter > 当前设备时间旧版本设备还应避免将 CA 证书截止时间设置到 2041 年以后。
5.2 创建工作目录
在操作主机执行:
mkdir -p dm-cert-work/demoCA/newcerts
cd dm-cert-work
: > demoCA/index.txt
echo 1000 > demoCA/serial
5.3 创建 OpenSSL 配置文件
创建 openssl-ca.cnf:
cat > openssl-ca.cnf <<'EOF'
[ ca ]
default_ca = CA_default
[ CA_default ]
dir = ./demoCA
new_certs_dir = $dir/newcerts
database = $dir/index.txt
serial = $dir/serial
private_key = ./root-key.key
certificate = ./root-cert.crt
default_md = sha256
policy = policy_any
copy_extensions = copy
unique_subject = no
[ policy_any ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical,CA:true
keyUsage = critical,keyCertSign,cRLSign,digitalSignature
[ server_cert ]
basicConstraints = CA:false
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
EOF
说明:
v3_ca确保根 CA 证书包含basicConstraints = CA:true。server_cert确保 DeviceManager 证书具备服务器证书用途。- 若业务要求浏览器完全信任证书,可在此基础上增加 SAN,但应先确认设备版本是否接受该扩展。
5.4 设置证书有效期
根据设备当前时间设置证书有效期。
实验环境示例:
START_DATE=20180101000000Z
END_DATE=20351231235959Z
生产环境示例:
START_DATE=<早于或等于设备当前时间的UTC时间>
END_DATE=20351231235959ZSTART_DATE 必须早于或等于设备当前系统时间。格式为 YYYYMMDDHHMMSSZ,末尾 Z 表示 UTC 时间。
5.5 生成根 CA 私钥和根 CA 证书
openssl genrsa -out root-key.key 2048
openssl req -new -sha256 \
-key root-key.key \
-subj '/C=CN/OU=Storage/CN=Storage' \
-out root.csr
openssl ca -selfsign -batch \
-config openssl-ca.cnf \
-extensions v3_ca \
-in root.csr \
-out root-cert.crt \
-startdate "$START_DATE" \
-enddate "$END_DATE"
5.6 生成 DeviceManager 私钥和 CSR
openssl genrsa -out dm_key.pem 2048
openssl req -new -sha256 \
-key dm_key.pem \
-subj '/C=CN/ST=Beijing/L=Beijing/O=Company/OU=Storage/CN=DeviceManagerCert' \
-out dm.csr
CN=DeviceManagerCert 为证书名称,可按客户规范调整。O、ST、L 等字段应按客户实际信息填写。
5.7 签发 DeviceManager 服务器证书
openssl ca -batch \
-config openssl-ca.cnf \
-extensions server_cert \
-in dm.csr \
-out client-cert.crt \
-startdate "$START_DATE" \
-enddate "$END_DATE"
cp client-cert.crt client-cert.pem
手册要求 DeviceManager 证书上传文件名使用 .pem 后缀,因此将 client-cert.crt 复制为 client-cert.pem。
5.8 本地校验证书
校验证书链:
openssl verify -CAfile root-cert.crt client-cert.pem
预期结果:
client-cert.pem: OK查看证书有效期:
openssl x509 -in client-cert.pem -noout -subject -issuer -dates
查看 CA 扩展:
openssl x509 -in root-cert.crt -noout -text | grep -A2 'Basic Constraints'
预期包含:
CA:TRUE校验证书和私钥是否匹配:
openssl x509 -in client-cert.pem -pubkey -noout | openssl sha256
openssl pkey -in dm_key.pem -pubout | openssl sha256
两条命令输出的 SHA-256 值应一致。
6. 上传证书介质
在操作主机执行:
scp client-cert.pem dm_key.pem admin@<存储管理IP>:/home/permitdir/如果环境使用 sftp,可执行:
sftp admin@<存储管理IP>
put client-cert.pem /home/permitdir/client-cert.pem
put dm_key.pem /home/permitdir/dm_key.pem
quit说明:阵列 CLI 不是完整 Linux shell,不一定支持 ls、sha256sum 等普通 Linux 命令。文件是否可用以后续 import ssl_certificate 命令读取结果为准。
本次实验通过图形化文件传输工具查看 /home/permitdir/,已确认目录中存在以下文件:
/home/permitdir/client-cert.pem
/home/permitdir/dm_key.pem不同环境使用不同的上传方式看自己现场情况决定 
7. 登录阵列并确认设备信息
登录阵列 CLI:
ssh admin@<存储管理IP>执行只读确认命令:
show system general应确认以下信息:
Health Status : Normal
Running Status : Normal
Product Model : <设备型号>
Product Version : <设备版本>
Time : <当前设备时间>确认设备型号属于本文适用范围后,再继续执行替换。
8. 替换当前管理 IP 所在控制器证书
8.1 进入 developer 模式
证书替换命令需要在 developer 模式下执行。登录阵列 CLI 后,执行:
change user_mode current_mode user_mode=developer
系统会输出 developer 模式风险提示,并询问是否已仔细阅读风险信息:
Have you read danger alert message carefully?(y/n)确认当前为授权操作、维护窗口已确认、且只执行本文涉及的证书替换命令后,输入:
y然后按回车。部分版本会再次确认:
Are you sure you really want to perform the operation?(y/n)确认后继续输入:
y成功进入后,命令提示符会变为:
developer:/>说明:developer 模式属于高权限模式,仅执行本文涉及的证书替换命令,不执行无关命令。
8.2 执行当前控制器证书替换
进入 developer 模式后执行:
import ssl_certificate ip=<存储管理IP> user=admin password=<admin密码> cert_file=/home/permitdir/client-cert.pem key_file=/home/permitdir/dm_key.pem执行后系统会提示即将使用未加密 SSL 证书替换当前证书,并说明 DeviceManager 会自动重启、管理服务会短暂中断:
Have you read danger alert message carefully?(y/n)确认文件路径、管理 IP、账号密码无误,并接受 DeviceManager 短暂中断后,输入:
y参数说明:
| 参数 | 说明 |
|---|---|
ip | 当前管理 IP |
user | 管理员用户,通常为 admin |
password | 管理员密码 |
cert_file | 上传到阵列的证书文件 |
key_file | 上传到阵列的私钥文件 |
此处只是在当前承载管理 IP、且已上传证书文件的控制器上替换当前节点证书。它不代表双控或多控设备已经全部完成替换。
命令执行后,DeviceManager 管理连接可能中断。等待服务恢复后重新访问管理页面。
本次实验执行后回显:
Command executed successfully.
判断:当前管理 IP 所在控制器的 DeviceManager 服务器证书替换命令执行成功。
9. 逐控制器替换
生产环境常见为双控或多控。当前管理 IP 所在控制器替换成功后,还需要确认其他正常控制器是否也需要替换。
若只替换当前控制器,控制器切换、管理 IP 漂移或浏览器连接到其他控制器时,可能仍然使用旧证书。
先把官方步骤拆成一句话:
文件放在上传文件控制器;命令在待替换控制器执行;ip=填写上传文件控制器的内部 IP。容易误解的地方是 ip=。它不是“当前待替换控制器的 IP”,也不是让你一直停留在上传文件控制器上替换所有节点。除第 8 节的当前节点外,替换其他控制器时,应先 sshtoremoteExt 跳到待替换控制器,然后在该控制器上执行 import ssl_certificate,其中 ip= 填上传文件所在控制器的内部 IP。
9.1 先理解管理 IP 和内部 IP
双控环境里,管理 IP 和控制器内部 IP 不是一回事。
管理 IP 是对外访问 DeviceManager 的地址,例如本文实验中的 192.168.19.2。它更像一个当前归属在某个控制器上的管理入口,浏览器和运维终端通过它访问 DeviceManager。
管理 IP 所在控制器不一定是 master 角色。现场可能出现登录到 slave 角色控制器,但管理 IP 实际也在该控制器上的情况。因此,不要用 role 字段判断管理 IP 所在节点,也不要默认 master 就是上传文件所在控制器。
每个控制器还会有自己的内部 IP,用于控制器之间通信、跳转和读取上传到另一控制器上的文件。这个内部 IP 不一定对外可见,也不等同于管理 IP。
因此,第 8 节在当前承载管理 IP 的控制器上执行时,ip= 使用管理 IP;跳到对端控制器后,ip= 使用“上传文件所在控制器”的内部 IP。
简化理解如下:
控制器 0:当前承载管理 IP 192.168.19.2,证书文件上传在这里
控制器 1:对端控制器
在控制器 0 执行,替换控制器 0:
import ssl_certificate ip=192.168.19.2 ...
跳到控制器 1 后执行,替换控制器 1,但读取控制器 0 上的文件:
import ssl_certificate ip=<控制器0内部IP> ...下面这张流程图是逐控制器替换的整体视角:先在当前承载管理 IP 的控制器完成导入,再根据 showsysstatus 判断是否存在其他 normal 控制器;若存在,就逐个跳转到对端控制器,并使用“上传文件所在控制器”的内部 IP 完成导入。
9.2 进入 minisystem 模式
showsysstatus、sshtoremoteExt 等控制器切换相关命令需要在 minisystem 模式下执行。应先确认当前已处于 developer 模式,然后执行:
minisystem进入 minisystem 后,执行:
showsysstatus记录以下信息:
当前控制器 ID
控制器 ID 范围
状态为 normal 的控制器 ID 列表不同版本的回显格式可能不同。以本文实验环境为例,showsysstatus 会进入诊断输出,关键字段如下:
node cfg : 2
local node id : 0
normalNodeBitmap : 1
id role status group engine
0 master normal 0 0判断方法:
local node id表示当前登录所在控制器。role只表示控制器角色,不等于管理 IP 所在控制器;管理 IP 可能位于master,也可能位于slave。- 下方表格中
status为normal的控制器都应完成证书替换。 - 若只有当前控制器为
normal,可跳过后续跳转步骤。 - 若存在其他
normal控制器,应继续执行后续逐控制器替换步骤。 - 若设备应为双控但对端控制器不可监控或不为
normal,不要在生产文档中直接判定“已完成双控替换”。应记录对端控制器异常,并在对端恢复后补做证书替换验证。
9.3 双控场景处理思路
双控环境通常会看到两个正常控制器。示例:
local node id : 0
id role status group engine
0 master normal 0 0
1 slave normal 0 0下面按这个示例说明:
| 名称 | 示例值 | 说明 |
|---|---|---|
MGMT_IP | 192.168.19.2 | 对外访问 DeviceManager 的管理 IP |
| 上传文件所在控制器 | 0 | 已经上传 /home/permitdir/client-cert.pem 和 dm_key.pem 的控制器 |
| 对端控制器 | 1 | 还需要补做证书替换的控制器 |
CTRL0_INTERNAL_IP | 172.16.xxx.xxx | 控制器 0 的内部 IP,需要在跳到控制器 1 后查询 |
第 8 节在控制器 0 上执行时,使用的是管理 IP:
import ssl_certificate ip=192.168.19.2 user=admin password=<admin密码> cert_file=/home/permitdir/client-cert.pem key_file=/home/permitdir/dm_key.pem跳到控制器 1 后,不能继续使用 192.168.19.2 作为示例 IP。此时应按厂商手册查询“上传文件所在控制器”的内部 IP,并在控制器 1 上使用该内部 IP 执行 import ssl_certificate。
也不要反过来理解成“留在控制器 0 上,把 ip= 改成控制器 1 的内部 IP”。官方步骤要求先跳到待替换节点,ip= 只是用来指向上传文件所在节点。
若现场当前控制器为 1、对端控制器为 0,则把下面示例中的 0 和 1 对调。
9.4 确认上传文件所在控制器
先记录“上传文件所在控制器 ID”。通常该控制器就是执行第 8 节时的当前控制器,也就是 showsysstatus 中的 local node id。
示例:
上传文件所在控制器 ID:0
待替换对端控制器 ID:1本文后续以“上传文件所在控制器为 0,对端控制器为 1”为例。若现场当前控制器为 1,则把示例中的 0 和 1 对调。
9.5 跳转到对端控制器
在 minisystem 中执行:
sshtoremoteExt 1输入对端控制器密码后,进入对端控制器。
跳转后建议再次确认当前控制器 ID:
showsysstatus确认 local node id 已变为对端控制器 ID。
9.6 获取上传文件所在控制器的内部 IP
对端控制器执行 import ssl_certificate 时,需要填写上传文件所在控制器的内部 IP,而不是填写管理 IP 192.168.19.2。
在对端控制器上执行以下命令,查询上传文件所在控制器的内部 IP:
sshtoremoteExt 0该步骤只用于观察回显中的内部 IP,不需要真正登录上传文件所在控制器。看到提示输入密码时,可以按 Ctrl+C 取消。
记录回显中的内部 IP,例如:
172.16.xxx.xxx9.7 在对端控制器执行证书替换
仍在对端控制器上执行:
import ssl_certificate ip=<CTRL0_INTERNAL_IP> user=admin password=<admin密码> cert_file=/home/permitdir/client-cert.pem key_file=/home/permitdir/dm_key.pem说明:此处 ip 按厂商手册填写“上传文件所在控制器”的内部 IP。命令在当前对端控制器上执行,用于完成当前对端控制器的 DeviceManager 证书替换。
示例:
import ssl_certificate ip=172.16.xxx.xxx user=admin password=<admin密码> cert_file=/home/permitdir/client-cert.pem key_file=/home/permitdir/dm_key.pem执行过程中同样会出现风险确认提示。确认后输入 y,看到以下回显表示成功:
Command executed successfully.9.8 跳回原控制器并处理更多控制器
对端替换完成后,跳回原控制器:
sshtoremoteExt 0若环境不止两个控制器,对其他 status 为 normal 的控制器重复 9.4 至 9.8。
全部控制器处理完成后,再进行第 10 节验证。
10. 验证
10.1 重新访问 DeviceManager
使用浏览器重新打开:
https://<存储管理IP>:8088确认页面可正常登录。
10.2 查看浏览器证书
在浏览器证书查看器中确认:
| 项目 | 预期 |
|---|---|
| 颁发对象 | 新证书中的 Subject |
| 颁发者 | 新根 CA |
| 生效时间 | 早于或等于设备当前时间 |
| 截止时间 | 新证书设置的截止时间 |
| 指纹 | 与新证书一致 |
本次实验替换后,浏览器证书查看器显示:
| 项目 | 值 |
|---|---|
| 证书查看者 | DeviceManagerCert |
| 颁发对象 CN | DeviceManagerCert |
| 颁发对象 O | Company |
| 颁发对象 OU | Storage |
| 颁发者 CN | Storage |
| 颁发者 OU | Storage |
| 颁发日期 | 2018-01-01 08:00:00 |
| 截止日期 | 2036-01-01 07:59:59 |
| 证书 SHA-256 指纹 | ee5a5fbcbe60a6e79c3c2ac62e5ae4550117d262860c1736478091fe6fc80cd2 |
![]() | |
判断:重新访问 https://192.168.19.2:8088 时,浏览器已读取到新导入的 DeviceManager 服务器证书,当前管理 IP 所在控制器替换生效。 |
10.3 查看告警
回到 DeviceManager 首页,确认不再出现:
DeviceManager的服务器证书即将过期如仍有告警,应确认是否所有控制器均已替换,以及设备系统时间是否落在新证书有效期内。
11. 常见问题
11.1 导入提示证书未生效或已过期
原因通常是设备系统时间不在证书有效期内。
处理方法:
- 查看设备当前时间。
- 查看证书
notBefore和notAfter。 - 重新生成覆盖当前设备时间的证书。
11.2 导入提示 CA 证书不符合要求
可能原因是根 CA 证书缺少 basicConstraints = CA:true。
处理方法:按本文 openssl-ca.cnf 重新生成根 CA 证书。
11.3 导入提示证书和私钥不匹配
可能原因是 client-cert.pem 不是由 dm_key.pem 对应 CSR 签发。
处理方法:重新执行私钥、CSR、签发步骤,并用公钥 SHA-256 比对。
11.4 替换后浏览器仍显示不安全
自签证书默认不被浏览器信任。需要将 root-cert.crt 导入客户端受信任根证书库,且证书主题/SAN 应符合浏览器校验要求。
11.5 替换后告警未消除
常见原因:
- 只替换了一个控制器。
- 浏览器连接到了未替换证书的控制器。
- 设备系统时间异常。
- 实际告警对象不是 DeviceManager 服务器证书。
12. 本次实验验证记录
以下记录仅用于说明本文流程已在实验环境中部分验证。生产操作应替换为生产环境实际信息。
12.1 实验设备
| 项目 | 值 |
|---|---|
| 设备型号 | Dorado5000 V3 |
| 版本 | V300R002C00 |
| 序列号 | ST000000002018120001 |
| WWN | 2100020203040506 |
| 管理入口 | https://192.168.19.2:8088 |
| 设备时间 | 2018-06-23 09:44:21 UTC+08:00 |
该设备属于 Dorado V3,适用 import ssl_certificate 路径。
12.2 替换前 DeviceManager 服务器证书
| 项目 | 值 |
|---|---|
| 证书查看者 | DMCert |
| 颁发对象 CN | DMCert |
| 颁发对象 O | Huawei |
| 颁发者 CN | Huawei IT Product CA |
| 颁发者 O | Huawei |
| 颁发日期 | 2018-05-10 09:56:24 |
| 截止日期 | 2028-05-07 09:56:24 |
| 证书 SHA-256 指纹 | 621d87cd5946ea51cf76268f69994bb58fd1aaea221bd1a3090fe5863edcd057 |
12.3 已生成的新证书
| 项目 | 值 |
|---|---|
| 证书文件 | client-cert.pem |
| 私钥文件 | dm_key.pem |
| 根 CA | root-cert.crt |
| 新证书生效时间 | 2018-01-01 00:00:00 GMT |
| 新证书截止时间 | 2035-12-31 23:59:59 GMT |
| 本地证书链校验 | client-cert.pem: OK |
证书文件和私钥公钥 SHA-256 已校验一致。
12.4 CLI 只读登录验证
执行命令:
show system general关键回显:
| 项目 | 值 |
|---|---|
| System Name | Huawei.Storage |
| Health Status | Normal |
| Running Status | Normal |
| Product Model | Dorado5000 V3 |
| Product Version | V300R002C00 |
| Time | 2018-06-23/10:18:19 UTC+08:00 |
判断:实验机 admin CLI 登录可用,设备信息与 DeviceManager 页面一致。
12.5 当前管理 IP 证书替换验证
执行 import ssl_certificate 后,CLI 回显:
Command executed successfully.重新访问 https://192.168.19.2:8088,浏览器证书查看器显示新证书:
| 项目 | 值 |
|---|---|
| 证书查看者 | DeviceManagerCert |
| 颁发日期 | 2018-01-01 08:00:00 |
| 截止日期 | 2036-01-01 07:59:59 |
| 证书 SHA-256 指纹 | ee5a5fbcbe60a6e79c3c2ac62e5ae4550117d262860c1736478091fe6fc80cd2 |
判断:当前管理 IP 所在控制器的 DeviceManager 服务器证书替换已验证生效。
12.6 控制器状态确认
进入 minisystem 后执行:
showsysstatus关键回显:
| 项目 | 值 |
|---|---|
| local node id | 0 |
| normalNodeBitmap | 1 |
| 正常控制器列表 | id 0 / master / normal / group 0 / engine 0 |
判断:本次实验环境中仅显示 id 0 控制器为 normal,当前管理 IP 所在控制器已完成证书替换。由于 DeviceManager 首页存在“系统无法监控控制器 B”告警,本文不把实验结果写成“双控均已替换”,而是记录为“当前 normal 控制器已替换;对端控制器异常,恢复后需补做证书替换确认”。
