Seguridad de PowerProtect Data Manager: Cómo crear una CSR para un certificado personalizado firmado por una CA
Resumen: Diez pasos para crear una solicitud de firma de certificado para un certificado firmado por una autoridad de certificación para PowerProtect Interfaz de usuario del administrador de datos. ...
Instrucciones
-
Conéctese a PowerProtect Data Manager mediante SSH.
-
Cambie el directorio remoto a
$HOMEcomo en el siguiente ejemplo:cd /home/admin
-
Cree una carpeta para la información del nuevo certificado:
mkdir /home/admin/certinfo cd /home/admin/certinfo
-
Cree un almacén de claves nuevo “ppdm.p12” y genere el par de claves RSA 2048.
El par de claves consta de claves públicas y privadas para el archivo de solicitud que se genera. (Este paso es necesario para crear una CSR para los certificados de CA personalizados. Si utiliza un almacén de claves existente, modifique el nombre de -keystore según corresponda. El nombre del almacén de claves es arbitrario.Notas:-
“Alias”, “dname”, “keystore”, “startdate” (opcional) y “validity” (opcional) son todos ejemplos y pueden variar según el sitio. No cambie ningún otro parámetro en el
keytoolcomando.Alias - the name of the record in the keystore that contains this data. dname - this info is displayed when viewing the certificate from a browser. CN - this value must use the FQDN for the PowerProtect Data Manager server CN=ppdm.customer.com, The values for OU(Organizational Unit), O(Organization), L(Location), S(State) and C(Country) are arbitrary and have no bearing on the certificate functionality. OU=Department Name,O=Company Name,L=Austin,S=TexasC=US startdate - This is the date when the certificate becomes valid. validity - This is the number of days after the startdate when the certificate will expire.
-
No importa dónde se encuentre el almacén de claves en el sistema de archivos. Asegúrese de conservar la contraseña del almacén de claves.
-
La extensión SubjectAlternativeName es necesaria para evitar este error en el navegador:
NET::ERR_CERT_COMMON_NAME_INVALID
-
Si usa más de una entrada “dns”: para SubjectAlternativeName, use una lista separada por comas después de “SubjectAlternativeName=”, como en el siguiente comando. Cada entrada de nombre aceptable del servidor de PowerProtect Data Manager tiene este formato:
dns:<server name>
La dirección URL utilizada para acceder al servidor de PowerProtect Data Manager debe coincidir con un nombre de servidor en la lista SubjectAlternativeName.
En el siguiente ejemplo, estas URL serían aceptables para el certificado que se solicitará:
"https://ppdm.customer.com" "https://ppdm"
* No especifique nombres en el campo SubjectAlternativeName que no se resuelvan en DNS en el servidor actual de PowerProtect Data Manager. Los certificados del servidor de PowerProtect Data Manager deben ser específicos de un servidor de PowerProtect Data Manager.
Comando keytool de ejemplo:
keytool -genkeypair -alias ppdm_key -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -dname "CN=ppdm.customer.com, OU=Department Name, O=Company Name,L=Austin, S=Texas C=US" -ext "SubjectAlternativeName=dns:ppdm.customer.com,dns:ppdm" -startdate "2022/02/17 00:00:00" -validity 1825 -storetype PKCS12 -keystore ppdm.p12
No cambie los valores suministrados para
-keyalg,-sigalgy-storetype.
El comando solicita crear una contraseña para el almacén de claves personalizado que se creará:Enter keystore password: ******* Re-enter new password: *******
-
-
Cree la solicitud de firma de certificado (CSR) “ppdm.csr” mediante el alias del comando keytool en el paso (4):
keytool -certreq -alias ppdm_key -keystore ppdm.p12 -ext "SubjectAlternativeName=dns:ppdm.customer.com,dns:ppdm" -file ppdm.csr
-
Envíe el archivo “ppdm.csr” a la CA aprobada para que lo firme. Solicite a la CA que devuelva los certificados en archivos individuales que tengan el formato X.509 codificado en Base-64. Por ejemplo, una CA de Microsoft Windows exporta archivos en el formato X.509 codificado en Base-64 con la extensión .cer de manera predeterminada.
Como mínimo, la CA puede devolver dos certificados firmados:
-
Uno de los certificados es la CA raíz. El archivo de certificado de CA puede tener cualquier nombre, pero, para este ejemplo, utilice el nombre de archivo root_ca.pem de acuerdo con la denominación de archivos en el servidor de PowerProtect Data Manager. Para el reemplazo de certificados a través de la interfaz de usuario, la extensión del archivo no importa.
-
El otro es el certificado personalizado firmado para el host de PowerProtect Data Manager. (En este ejemplo, se utiliza el nombre de archivo ppdmserver.pem).
Además de los certificados anteriores, la CA puede devolver certificados adicionales para cualquier CA intermedia interna en el entorno. (En este ejemplo, se utiliza el nombre de archivo subordinate_ca.pem).
Para resumir, en este ejemplo, la CA devolvió los siguientes tres archivos .pem:
root_ca.pem subordinate_ca.pem ppdmserver.pem
Si la cadena se devuelve en un archivo, abra cada certificado en un equipo con Windows. En la pestaña Details, utilice el botón “Copy to File” para guardar una copia en el formato X.509 codificado Base-64.
-
-
Exporte la clave del servidor de PowerProtect Data Manager a un archivo como “ppdmserverkey.rsa”:
openssl pkcs12 -in ppdm.p12 -nocerts -nodes -out ppdmserverkey.rsa
-
Convierta el formato RSA del archivo de clave “ppdmserverkey.rsa” a pem (formato X.509 codificado en Base-64). Este ejemplo de comando genera el archivo de salida “ppdmserverkey.pem”:
openssl rsa -in ppdmserverkey.rsa -out ppdmserverkey.pem
-
Importe el certificado y la clave privada a través de la interfaz de usuario web. En los pasos de ejemplo anteriores, estos serían "ppdmserver.pem" ** y "ppdmserverkey.pem" respectivamente.
-
Reinicie el servicio web “nginx” de PowerProtect Data Manager:
systemctl restart nginx
**A partir de la versión 19.16, se requiere la importación de la cadena de certificados con los siguientes requisitos:
a) La fecha de vencimiento del certificado de PowerProtect Data Manager debe ser igual o menor que la del certificado del servidor de CA que procesó el .csr.
b) Si hay una o más CA intermedias, los certificados de los elementos primarios de la jerarquía deben tener fechas de vencimiento iguales o superiores a las de la entidad de certificación primario-firmante.
c) La CA raíz debe ser un certificado autofirmado.
d) El certificado público importado a PowerProtect Data Manager debe ser una cadena con la jerarquía completa.
La manera más sencilla de crear la cadena necesaria es concatenar los certificados en un archivo, comenzando por el certificado de PowerProtect Data Manager primero y, por último, por la CA raíz. El archivo de cadena de certificados resultante será una lista de certificados en orden jerárquico inverso, como en el siguiente ejemplo.
admin@ppdm:~>cat ppdmserver.pem>>chain.pem admin@ppdm:~>cat subordinate_ca.pem>>chain.pem admin@ppdm:~>cat root_ca.pem>>chain.pem
Importe chain.pem como el certificado público.