PowerProtect Data Manager 安全性：如何為 CA 簽署的自訂憑證建立 CSR

1. 使用 ssh 連線至 PowerProtect Data Manager。

2. 將目錄變更為 $HOME 如下所示：

   cd  /home/admin

3. 為新的憑證資訊建立資料夾：

   mkdir /home/admin/certinfo
   cd /home/admin/certinfo
   

4. 建立新的自訂金鑰存放區 "ppdm.p12"，並產生 RSA 2048 金鑰配對。
   金鑰配對包含所產生要求檔案的公開和私人金鑰。(必須執行此步驟，才能為自訂 CA 憑證建立 CSR。如果使用現有的金鑰存放區，請適當修改 -keystore 名稱。金鑰存放區的名稱可任意指定。

   注意：

   1. "Alias"、"dname"、"keystore"、"startdate" (選用) 和 "validity" (選用) 皆為範例，網站的內容可能有所不同。請勿變更任何其他參數 (位於 keytool 命令為貴組織設定主要和次要 IT 連絡人。

      Alias - the name of the record in the keystore that contains this data.
      dname - this info is displayed when viewing the certificate from a
      browser.
      CN - this value must use the FQDN for the PowerProtect Data Manager server
      CN=ppdm.customer.com,
      The values for OU(Organizational Unit), O(Organization), L(Location),
      S(State) and C(Country) are arbitrary and have no bearing on the certificate
      functionality.
      OU=Department Name,O=Company Name,L=Austin,S=TexasC=US
      startdate - This is the date when the certificate becomes valid.
      validity - This is the number of days after the startdate when the 
      certificate will expire.

   2. 金鑰存放區在檔案系統上的位置並不重要。請務必保留金鑰存放區密碼。

   3. 需要 SubjectAlternativeName 副檔名，以避免此瀏覽器錯誤：

      NET::ERR_CERT_COMMON_NAME_INVALID

   4. 如果在 SubjectAlternativeName 使用一個以上的 "dns:" 項目，請在 "SubjectAlternativeName=" 之後使用逗號分隔清單，如以下命令所示。每個可接受的 PowerProtect Data Manager 伺服器名稱項目都有以下格式：

      dns:<server name>

      用於存取 PowerProtect Data Manager 伺服器的 URL 必須與 SubjectAlternativeName 清單中的伺服器名稱相符。

      在下面的範例中，可針對所要求的憑證接受這些 URL：

      "https://ppdm.customer.com"
      "https://ppdm"

      *請勿指定 SubjectAlternativeName 欄位中無法在 DNS 中解析至目前 PowerProtect Data Manager 伺服器的名稱。PowerProtect Data Manager 伺服器憑證應專屬於一個 PowerProtect Data Manager 伺服器。

      Keytool 範例命令：

      keytool -genkeypair -alias ppdm_key -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -dname "CN=ppdm.customer.com, OU=Department Name, O=Company Name,L=Austin, S=Texas C=US" -ext "SubjectAlternativeName=dns:ppdm.customer.com,dns:ppdm" -startdate "2022/02/17 00:00:00" -validity 1825 -storetype PKCS12 -keystore ppdm.p12

      請勿變更值 (提供給 -keyalg, -sigalg 和 -storetype。
      要為正在建立的自訂金鑰存放區建立密碼的命令提示：

      Enter keystore password: *******           Re-enter new password: *******

5. 使用步驟 (4) 中 keytool 命令的別名建立憑證簽署要求 (CSR) "ppdm.csr"：

   keytool -certreq -alias ppdm_key -keystore ppdm.p12 -ext "SubjectAlternativeName=dns:ppdm.customer.com,dns:ppdm" -file ppdm.csr

6. 將 "ppdm.csr" 檔案傳送至核准的 CA 進行簽署。要求 CA 以個別檔案傳回採用 Base-64 編碼的 X.509 格式的憑證。例如，Microsoft Windows CA 預設會匯出 Base-64 編碼的 X.509，副檔名為 .cer。

   CA 至少會傳回兩個已簽署的憑證：

   1. 一個憑證是 root CA。CA 憑證檔案可以具有任何名稱。但在本範例中，請使用與 PowerProtect Data Manager 伺服器上的檔案名稱一致的檔案名稱 root_ca.pem。若要透過 UI 更換憑證，則檔案副檔名並不重要。

   2. 另一個憑證是 PowerProtect Data Manager 主機的已簽署自訂憑證。(此範例使用檔案名稱 ppdmserver.pem)。

      除了上述憑證之外，CA 可能會為環境中的任何內部中繼 CA 傳回其他憑證。(此範例使用檔案名稱 subordinate_ca.pem)。

      總結來說，在此範例裡，CA 傳回下列三個 .pem 檔案：

      root_ca.pem
      subordinate_ca.pem
      ppdmserver.pem

      如果鏈結以一個檔案傳回，請在 Windows 電腦上開啟每個憑證。在「詳細資料」標籤中，使用「複製到檔案」按鈕，以 Base-64 編碼的 X.509 格式儲存複本。

7. 將 PowerProtect Data Manager 伺服器金鑰匯出為檔案 "ppdmserverkey.rsa"：

   openssl pkcs12 -in ppdm.p12 -nocerts -nodes -out ppdmserverkey.rsa

8. 將金鑰檔案 "ppdmserverkey.rsa" 從 RSA 格式轉換為 pem (Base-64 編碼的 X.509)。此命令範例會產生輸出檔案 "ppdmserverkey.pem"：

   openssl rsa -in ppdmserverkey.rsa -out ppdmserverkey.pem

9. 透過 Web UI 匯入憑證和私人金鑰。在上述範例步驟中，這些步驟會分別為「ppdmserver.pem」** 和「ppdmserverkey.pem」。

10. 重新啟動 PowerProtect Data Manager "nginx" Web 服務：

    systemctl restart nginx

** 從版本 19.16 開始，必須匯入憑證鏈結，並符合下列需求：
a） PowerProtect Data Manager 憑證的到期日必須等於或不早於處理.csr的 CA 伺服器憑證的到期日。
b） 如果有一個或多個中間 CA，則層次結構中父級的證書的到期日期必須等於或長於父簽名者 CA。
c） 根 CA 必須是自簽名證書。
d） 匯入 PowerProtect Data Manager 的公有憑證必須是具有完整階層的鏈結。
建立所需鏈結最簡單的方法是先啟動 PowerProtect Data Manager 憑證，最後開始根 CA，將憑證連接成一個檔案。  生成的證書鏈檔將是按反向層次結構順序排列的證書清單，如以下範例所示。

admin@ppdm:~>cat ppdmserver.pem>>chain.pem
admin@ppdm:~>cat subordinate_ca.pem>>chain.pem
admin@ppdm:~>cat root_ca.pem>>chain.pem

匯入 chain.pem 作為公有憑證。