Photo-2014-06-10-11-05-42_5420

Remplacer les certificats SSL autosignés d’un XtremIO

self-signed-sslNous continuons notre préparation de mise en production de nos bricks XtremIO. Afin d’être conformes à notre politique de sécurité interne, nous essayons, dans la mesure du possible d’intégrer systématiquement des certificats SSL valides vis à vis de notre PKI Institutionnelle à chaque nouvelle application ou équipement. Les interfaces d’administration de nos différents composants de stockage ne dérogent pas à la règle et il a donc fallu s’atteler à intégrer des certificats corrects sur les consoles d’admin des XtremIO.

La chose n’est pas forcément facile, dans le sens ou la documentation fournie est plus que succincte à ce sujet. Donc après une petite demi-heure de tests et tâtonnements divers, nous sommes finalement arrivés à nos fins. Voici donc la procédure pour pouvoir installer un nouveau jeu de certificats à une console XtremIO. Je ne détaillerai pas ici la procédure permettant de générer un certificat depuis votre autorité de certification, ceci dépendant plus que largement de la solution que vous avez choisi au sein de votre organisation (et accessoirement, complètement hors-sujet ;) ).

Lire la suite …

vsan

Implanter des certificats SSL spécifiques sur une tête NAS EMC Celerra

Pour ceux qui utilisent au quotidien des VNX Unified ou des têtes NAS dédiées de type EMC Celerra, le souci revient régulièrement et il st particulièrement rébarbatif, à l’heure où tous les navigateurs serrent beaucoup la vis concernant la validité des certificats SSL.

En effet, à chaque connexion ainsi que lors de l’utilisation des fenêtres popup de configuration des NAS Celerra, on tombe souvent sur l’alerte de certificat, et pour cause : de base, les Control Stations embarquent un certificat auto-signé, non approuvé par une autorité racine de confiance. Plusieurs méthodes existent pour se débarrasser de ce genre d’alerte, la plus radicale étant un paramétrage spécifique du navigateur autorisant d’accepter n’importe quel certificat. Pas génial, c’est le moins qu’on puisse dire, si vous vous servez de ce même navigateur pour des activité plus quotidiennes par ailleurs.

La solution la plus pérenne et, de mon point de vue, la meilleure, consiste tout simplement à changer les certificats auto-signés des CS par des certificats validés par votre PKI interne (si vous en disposez évidemment). La procédure, quoique relativement simple, n’est pas clairement décrite dans les documentations Celerra.

Lire la suite …