PowerScale OneFS: Výměna nebo obnovení certifikátu SSL pro webovou správu Isilon

Shrnutí: Postup obnovení nebo výměny certifikátu SSL pro webové rozhraní správy OneFS.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.
Podívejte se na další zdroje

Pokyny

Poznámka: Příkazy v tomto článku jsou určeny POUZE pro použití s clusterem Isilon. Není určen k použití s externím serverem Linux.

 

Poznámka: Systém Isilon certifikát automaticky neobnoví. Je nutné jej obnovit ručně podle kroků v tomto článku v clusteru Isilon.

 

Úvod

Tento článek vysvětluje, jak nahradit nebo obnovit certifikát SSL (Secure Sockets Layer) pro webové rozhraní správy systému Isilon. Následující postupy zahrnují možnosti dokončení výměny nebo obnovení certifikátu podepsaného držitelem nebo vyžádání výměny či obnovení certifikátu SSL od certifikační autority (CA).

Požadované nástroje nebo dovednosti

K dokončení tohoto úkolu potřebujete zadat adresu URL pro přístup k webovému rozhraní správy Isilon. (Příklady v tomto článku používají https://isilon.example.com:8080/.) Měli byste také umět spouštět příkazy z příkazového řádku.

 

Požadavky

Referenční informace
V následujících seznamech jsou uvedena výchozí umístění server.crt a server.key soubory. V následujících postupech aktualizujte kroky, aby tyto údaje odpovídaly nainstalované verzi systému OneFS.

Pomocí následujícího příkazu získáte seznam certifikátů:

isi certificate server list 

    Postup

    Vytvořte místní pracovní adresář.

    mkdir /ifs/local
cd /ifs/local

    Ověřte, zda chcete obnovit stávající certifikát nebo vytvořit certifikát od začátku.

    • Obnovení stávajícího certifikátu podepsaného držitelem
    Tím se vytvoří obnovovací certifikát, který je založen na stávajícím (skladovém) ssl.key. Spuštěním následujícího příkazu vytvořte certifikát s platností 2 roky. Zvýšením nebo snížením hodnoty -days vygenerujete certifikátu s jiným datem vypršení platnosti:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Odpovězte na výzvy k dokončení procesu vygenerování certifikátu SSL podepsaného držitelem a zadejte příslušné informace své organizace.

    Například: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Po dokončení zadávání informací se zobrazí server.csr a server.key Soubory se zobrazí v poli /ifs/local directory.
    • (Volitelné) Ověřte integritu a atributy certifikátu:
    openssl x509 -text -noout -in server.crt
    Po tomto kroku přejděte do části Přidání certifikátu do clusteru tohoto článku.
    • Vytvoření certifikátu a klíče
    Tento postup ukazuje, jak vytvořit nový soukromý klíč a certifikát SSL. Spuštěním následujícího příkazu vytvořte RSA 2048-bit soukromý klíč: 
    openssl genrsa -out server.key 2048
    Vytvoření žádosti o podpis certifikátu: 
    openssl req -new -nodes -key server.key -out server.csr
    Zadejte příslušné informace pro vaši organizaci. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (Volitelné) Vygenerujte certifikát CSR pro certifikační autoritu, který obsahuje alternativní názvy subjektů. Pokud je potřeba další DNS, lze jej přidat pomocí čárky (,)
    Například: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    Po zobrazení výzvy zadejte informace, které chcete zahrnout do žádosti o certifikát. Po dokončení zadávání informací se zobrazí server.csr a server.key Soubory se zobrazí v poli /ifs/local directory.

    Ověřte, zda chcete certifikát podepsat svým držitelem nebo jej nechat podepsat certifikační autoritou (CA).
    • Podepsání certifikátu SSL držitelem
    Chcete-li certifikát podepsat sami pomocí klíče, spusťte následující příkaz, který vytvoří nový certifikát podepsaný držitelem s platností 2 roky: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Ověřte, zda klíč odpovídá certifikátu. Oba příkazy by měly vrátit stejnou hodnotu md5: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Po tomto kroku přejděte do části Přidání certifikátu do clusteru tohoto článku.
    • Podepsání certifikátu certifikační autoritou
    Pokud certifikát podepisuje certifikační autorita, ujistěte se, že nový certifikát SSL je ve formátu x509 a zahrnuje celý řetězec důvěryhodnosti certifikátů.

    Je běžné, že certifikační autorita vrací nový certifikát SSL, zprostředkující certifikát a kořenový certifikát v samostatných souborech.

    Pokud to certifikační autorita udělala, je NUTNÉ vytvořit certifikát ve formátu PEM ručně.

    Při vytváření certifikátu ve formátu PEM záleží na pořadí. Váš certifikát musí být v horní části souboru, následovaný zprostředkujícími certifikáty a kořenový certifikát musí být dole.

    Zde je příklad toho, jak vypadá soubor ve formátu PEM: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    Jednoduchý způsob, jak vytvořit soubor ve formátu PEM z rozhraní příkazového řádku, je hlídat soubory (nezapomeňte, že na pořadí souborů záleží): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Zkopírujte soubor onefs_pem_formatted.crt do /ifs/local directory a přejmenujte jej na server.crt.
     
    Poznámka: If a .cer soubor, přejmenujte jej na a .crt prodloužení.

     

    • (Volitelné) Ověřte integritu a atributy certifikátu:
    openssl x509 -text -noout -in server.crt

    Přidejte certifikát do clusteru:

    1. Importujte nový certifikát a klíč do systému:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Ověřte, zda byl certifikát úspěšně importován:
    isi certificate server list -v
    1. Nastavte importovaný certifikát jako výchozí:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Pomocí níže uvedeného příkazu ověřte, zda je importovaný certifikát používán jako výchozí. Zobrazí se stav „Default HTTPS Certificate“:
      isi certificate settings view
      1. Pokud existuje nepoužívaný nebo zastaralý certifikát, odstraňte jej pomocí příkazu:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Zobrazte nový importovaný certifikát pomocí příkazu:
      isi certificate server view --id=<id_of_cert>

      Ověření

      Aktualizovaný certifikát SSL lze ověřit dvěma způsoby.

      • Z webového prohlížeče:
      1. Přejděte na https://<common name>:8080, kde <běžný název> je název hostitele, který se používá pro přístup k webovému rozhraní správy Isilon. Například isilon.example.com
      2. Prohlédněte si podrobnosti o zabezpečení webové stránky. Postup se liší podle prohlížeče. V některých prohlížečích můžete kliknutím na ikonu visacího zámku v adresním řádku zobrazit podrobnosti o zabezpečení webové stránky.
      3. V podrobnostech o zabezpečení webové stránky ověřte, zda jsou předmět a další podrobnosti správné. Zobrazí se výstup podobný následujícímu, kde <yourstate>, <yourcity> a <vaše společnost> představují stát, město a název vaší organizace:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Z příkazového řádku:
      1. Navažte připojení SSH s libovolným uzlem v clusteru a přihlaste se pomocí účtu „root“.
      2. Zadejte následující příkaz:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Zobrazí se výstup podobný následujícímu, kde <yourstate>, <yourcity> a <vaše společnost> jsou stát, město a název vaší organizace:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Další informace

      Poznámka: Upozornění na události se spouští také na zařízení Isilon, jak je vidět níže: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Dotčené produkty

      PowerScale OneFS

      Produkty

      Isilon
      Vlastnosti článku
      Číslo článku: 000157711
      Typ článku: How To
      Poslední úprava: 17 Sep 2025
      Verze:  20
      Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
      Služby podpory
      Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.