Skip to main content
Isilon OneFS: Securando la WebUI con SmartConnect y Certificados SSL - Featured image

Isilon OneFS: Securando la WebUI con SmartConnect y Certificados SSL

Saul Ojeda 736 words 4 min

Administrar un clúster de almacenamiento de nivel empresarial a través de una dirección IP estática y lidiando con la molesta advertencia de “Sitio no seguro” en el navegador no es una práctica aceptable en un entorno de producción. Además de la molestia visual, se omiten verificaciones críticas de identidad, lo que puede exponer las sesiones administrativas a ataques de interceptación.

En esta guía, llevaremos la seguridad de gestión de nuestro Dell EMC Isilon al siguiente nivel. Configuraremos un FQDN balanceado para nuestra red de administración utilizando SmartConnect y, posteriormente, emitiremos e instalaremos un certificado SSL válido utilizando nuestra propia Autoridad Certificadora (CA) interna de Windows Server.

Paso 1: Configurar un FQDN para la Red de Management (SmartConnect)

Para que nuestro certificado SSL sea válido y confiable, debe estar vinculado a un nombre de dominio (FQDN) en lugar de una IP dinámica o estática. Primero debemos delegar la administración de este nombre a nuestro clúster.

  1. Configurar la IP de Servicio (SIP): En la interfaz web (WebUI) de Isilon, ve a Cluster Management > Network Configuration. Edita tu subred de administración (ej. Management). Configuración de Red En el campo SmartConnect service IPs, asigna una IP libre de ese rango (ej. 10.0.6.250). SmartConnect Service IP

  2. Asignar el Zone Name: Edita el Pool de Management asociado a esa subred. Management Pool En el campo Zone name, ingresa tu dominio de administración deseado (ej. isilonmgmt.mxlit.com) y selecciona la subred de servicio de SmartConnect correcta. Configuración de Zone Name

  3. Delegación DNS en Windows Server: En tu servidor DNS, crea un registro Host (A) apuntando a tu SIP (sip-mgmt -> 10.0.6.250).

Registro Host DNS

Haz clic derecho sobre tu dominio y crea una New Delegation para el subdominio isilonmgmt, apuntándola al registro A creado anteriormente.

Una vez replicado el DNS, al ejecutar nslookup isilonmgmt.mxlit.com, Isilon responderá con la IP dinámica de uno de los nodos. Verificación DNS

Paso 2: Generar el Certificate Signing Request (CSR)

Para mantener la máxima seguridad, generaremos la llave privada y la solicitud (CSR) directamente en el clúster de Isilon. Conéctate por SSH a cualquier nodo y ejecuta:

# 1. Navegar a una ruta de datos para almacenar los archivos
cd /ifs/data

# 2. Generar la llave privada (RSA 2048 bits)
openssl genrsa -out isilonmgmt.key 2048

# 3. Generar el CSR con detalles de la empresa e inyectar SANs (FQDN e IP)
openssl req -new -nodes -key isilonmgmt.key -out isilonmgmt.csr \
-subj "/C=MX/ST=Baja California/L=Mexicali/O=MxLit IT/OU=IT Infrastructure/CN=isilonmgmt.mxlit.com" \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:isilonmgmt.mxlit.com,IP:10.0.6.250\n"))

# 4. Mostrar el CSR por consola para copiarlo
cat isilonmgmt.csr

Copia el bloque completo que comienza con -----BEGIN CERTIFICATE REQUEST-----. Generación de CSR

Paso 3: Firmar el Certificado con AD CS

Método A: Portal de Web Enrollment

El portal web de nuestra Autoridad Certificadora de Windows Server es una herramienta clásica y útil para firmar peticiones de appliances de terceros.

  1. Ingresa a https://<tu-servidor-ca>/certsrv desde tu navegador. Portal CA
  2. Selecciona Request a certificate > advanced certificate request. Solicitar Certificado
  3. Pega el bloque de texto del CSR en el cuadro de petición Base-64-encoded.
  4. En Certificate Template, selecciona Web Server. Selección de Plantilla
  5. Haz clic en Submit, selecciona Base 64 encoded en la pantalla de resultados y haz clic en Download certificate. Descarga de Certificado

Método B: PowerShell (Certreq)

También puedes firmar el certificado directamente desde la línea de comandos en tu servidor CA:

# 1. Enviar el CSR a tu CA usando la plantilla WebServer
# Aparecerá una pequeña ventana para seleccionar tu CA interna
certreq -submit -attrib "CertificateTemplate:WebServer" C:\temp\isilonmgmt.csr C:\temp\isilonmgmt.cer

# 2. Verificar que el certificado se haya creado correctamente
Test-Path C:\temp\isilonmgmt.cer

Firma con PowerShell Archivo del Certificado

Paso 4: Importar y Activar el Certificado SSL en Isilon

Finalmente, debemos inyectar el certificado firmado en OneFS y decirle al servidor web nativo (Apache) que comience a utilizarlo.

Copia el contenido de tu archivo isilonmgmt.cer en un archivo temporal dentro de Isilon (/ifs/data/isilonmgmt.cer) y ejecuta:

# Importar el certificado firmado al almacenamiento de OneFS
isi certificate server import /ifs/data/isilonmgmt.cer --name=isilonmgmt-ssl

# Configurar el nuevo certificado como el predeterminado para HTTPS
isi certificate settings modify --default-https-certificate=isilonmgmt-ssl

Importar Certificado Activación

Verificación Final

Abre tu navegador e ingresa a https://isilonmgmt.mxlit.com:8080. Tu consola de administración ahora debería estar protegida con un flamante candado de seguridad, validado por tu propia infraestructura.

Verificación Detalles SSL

Al implementar SmartConnect para la gestión y securizar la WebUI con certificados SSL confiables, has transformado un clúster de almacenamiento básico en un activo empresarial robusto. Esto asegura que cada acción administrativa esté cifrada, verificada y alineada con los estándares modernos de ciberseguridad. La gestión adecuada de certificados no es solo una cuestión estética; es la piedra angular de una infraestructura de IT segura y profesional.




End of transmission.