ME4: Vygenerování vlastních certifikátů zabezpečení pomocí služby AD CS (Active Directory Certificate Services)

Summary: Tyto pokyny ukazují, jak vytvořit dva vlastní certifikáty SSL, jeden pro každý řadič, pomocí softwaru OpenSSL a služby Active Directory Certificate Services (ADCS). Certifikáty pracují jak se společným plně kvalifikovaným názvem domény (FQDN) pro oba řadiče ME4, tak se systémovým názvem FQDN každého jednotlivého řadiče. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Požadavky

  • Nainstalujte službu AD CS (Active Directory Certificate Services) pro svou doménu a nakonfigurujte služby

  • Zaznamenejte IP adresy, IP adresy serveru DNS (Domain Name System), vyhledávací doménu a názvy systémů pro každý řadič ME4.

  • OpenSSL

  • Ověřte server DNS používaný systémem ME4, a ověřte, že doména AD podporuje kruhové dotazování DNS

V tomto článku se používají následující názvy DNS FQDN pro ME4. Je možné použít jakýkoli název, zde jsou uvedené pouze příklady. Nahraďte názvem své domény a preferovanými názvy. 

  1. Obecný název: me4.mscerttest.com

  2. Název řadiče A: me4-a.mscerttest.com

  3. Název řadiče B: me4-b.msccerttest.com

Vytvoření záznamů DNS A

Oba AD Certifikační služba (CS) a ME4 musí používat stejné servery DNS. Aby server DNS mohl používat společný název plně kvalifikovaného názvu domény pro oba řadiče, musí podporovat kruhové dotazování DNS. Služba Microsoft DNS ve výchozím nastavení podporuje kruhové dotazování DNS. V našem příkladu je IP serveru DNS 10.240.225.174.

Na serveru DNS vytvořte následující záznamy A. V našem příkladu je použita IP adresa řadiče A 10.240.225.6 a IP adresa řadiče B 10.240.225.7. Pro své prostředí použijte vlastní název domény a IP adresy.

  • Vytvořte záznam řadiče A pro me4.mscerttest.com s IP adresou 10.240.225.6

  • Vytvořte záznam řadiče A pro me4.mscerttest.com s IP adresou 10.240.225.7

  • Vytvořte záznam řadiče A pro me4-a.mscertest.com s IP adresou 10.240.225.6

  • Vytvořte záznam řadiče A pro me4-b.mscerttest.com s IP adresou 10.240.225.7

Pomocí příkazu nslookup ověřte, že společný plně kvalifikovaný název domény – me4.mscerttest.com – vrací IP adresy obou řadičů pro ověření systému DNS kruhového dotazování.

C:\Users\Administrator>nslookup
Výchozí server:  localhost
Adresa:  127.0.0.1

> me4.mscerttest.com
Server:  localhost
Adresa:  127.0.0.1

Jméno: me4.mscerttest.com
Adresy: 10.240.225.7
          10.240.225.6

 

Ověření konfigurace adres IP / serveru DNS systému ME4

Názvy systémů, název domény a server DNS použité v ME4 by se měly shodovat s názvy používanými službou AD CS.

Otevřete uživatelské rozhraní ME4 a vyberte možnost Action -> System Settings. Přejděte na kartu Network.

  1. Na stránkách IP ověřte IP adresy řadiče A a B a nastavení záznamů řadiče A na serveru DNS

Obrázek s grafickým uživatelským rozhraním PowerVault Manager s IP adresami IPv4 řadiče.

  1. Na stránce DNS ověřte:

  • Vyhledávací doména pro každý řadič odpovídá doméně služby AD CS

  • Název hostitele pro každý řadič se shoduje s názvem DNS použitým pro jednotlivé záznamy řadiče A

  • Server DNS je stejný server DNS, který používá služba ADCS

 

Obrázek s grafickým uživatelským rozhraním PowerVault Manager s nastavením serveru DNS řadiče.

 

Vytvoření souborů žádosti o certifikát pro řadič A a B

Dále vytvořte dva konfigurační soubory pomocí textového editoru. Tyto soubory se používají k vygenerování souborů žádostí o certifikát pro řadiče v softwaru OpenSSL. K dispozici jsou dva soubory – jeden pro řadič A a jeden pro řadič B. Příklady jsou připojeny na kartě Related na základě našeho prostředí pro řadič A i B. 

Obsah těchto souborů vypadá v textovém editoru takto.

[ req ]
default_bits        = 2048
distinguished_name  = req_distinguished_name
req_extensions      = req_ext
prompt     = no

[ req_distinguished_name ]
countryName                 = US
stateOrProvinceName         = New Hampshire
localityName                = Nashua
organizationName         = Dell
organizationalUnitName  = IT
commonName     = me4-a.mscerttest.com

[ req_ext ]
subjectAltName    = @alt_names
[alt_names]
DNS.1   =  me4.mscerttest.com
DNS.2   =  me4-a.mscerttest.com


Upravte následující pole v každém konfiguračním souboru řadiče – jeden pro řadič ME4-A a jeden pro řadič ME4-B –, aby odpovídala vašim názvům a doménám.

  1. Běžný název a název řadiče v části commonName a alt_names se musí shodovat s vaším prostředím pro tento řadič

  2. Pokud pro velikost klíče používáte jinou hodnotu než 2048, změňte tuto informaci v části default_bits

  3. Hodnoty countryName, stateOrProvinceName, localityName, organizationName, and organizationalUnitNamese se musí shodovat s informacemi o vaší společnosti


Po dokončení by měly být k dispozici dva textové soubory – ME4-A.cnf a ME4-B.cnf –, které mají požadované názvy a konfiguraci vašeho prostředí.

Instalace softwaru OpenSSL

ME4 je externí úložiště, takže aby bylo možné jej předložit službě ADCS, je nutné prostřednictvím softwaru OpenSSL vygenerovat žádost o certifikát. Prvním krokem je instalace softwaru OpenSSL, pokud již není nainstalovaný. Pro tento proces byla do ADCS pro usnadnění nainstalována verze systému Windows. OpenSSL může být na serveru Linux nebo jiném serveru Windows a stále může generovat žádost o certifikát.

Verzi OpenSSL pro Windows si můžete stáhnout @ https://slproweb.com/products/Win32OpenSSL.htmlimage.png

Vyberte plnou verzi 64bitového OpenSSL a nainstalujte ji. 

Po instalaci stiskněte tlačítko Start systému Windows a v seznamu programů přejděte na položku OpenSSL. Pod ní je ikona příkazového řádku Win64 OpenSSL. Klikněte na ikonu a otevřete příkazové okno DOS se všemi příslušnými nastavenými příkazy pro spuštění softwaru OpenSSL. Použijte příkazový řádek v další části.

Obrázek zobrazuje položky softwaru OpenSSL v nabídce Start systému Windows se zvýrazněným příkazem „Win64 OpenSSL“.

 

Použití konfiguračních souborů a softwaru OpenSSL k vytvoření souborů žádostí o certifikát

Spusťte okno příkazového řádku Win64 OpenSSL. Po otevření přejděte do adresáře se soubory ME4-A.cnf a ME4-B.cnf. Níže uvedené kroky proveďte dvakrát – jednou pro soubor ME4-A a jednou pro soubor ME4-B.

Pro žádost o certifikát řadiče A použijte soubor ME4-A.cnf. Níže uvedený příkaz vygeneruje soubor privátního klíče a soubor žádosti o certifikát pro řadič A. 

openssl req -out ME4-A.csr -newkey rsa:2048 -nodes -keyout ME4-A.key -config ME4.cnf

Po dokončení příkazu se zobrazí "ME4-A.csr" (soubor žádosti o certifikát pro A) a "ME4-A.key" (soubor privátního klíče pro A).

Opakujte tento postup pro řadič B a v příkazovém řádku nahraďte ME4-B za ME4-A. Po dokončení kroků by měly být k dispozici 4 soubory potřebné k vygenerování našich dvou certifikátů:

  • ME4-A.csr

  • ME4-A.key

  • ME4-B.csr

  • ME4-B.key

Zkopírujte tyto soubory na server služby AD CS a připravte se na generování certifikátů.

Vygenerování certifikátů řadiče ME4

Zkopírujte ".key" a ".csr" do adresáře na serveru ADCS. Na serveru ADCS otevřete příkazový řádek DOS. V příkazovém řádku přejděte pomocí příkazu „cd“ do adresáře s těmito soubory. V tomto příkladu se jako šablona používá standardní webový server šablony ADCS. Pokud jsou vyžadovány jiné parametry, než jsou v šabloně webového serveru, vytvořte vlastní šablonu a odkažte na ni v následujícím příkazu.

Spuštěním následujícího příkazu vygenerujte certifikát pro řadič A.

certreq -submit -attrib "CertificateTemplate:WebServer" ME4-A.csr ME4-A.cer

Vzhledem k tomu, že tento příklad používá server ADCS, není nutné přidávat možnost -config DOMAINCA\CA1 pro definování ADCS na příkazovém řádku. Na obrazovce se zobrazí dialogové okno se službou ADCS, které umožňuje výběr při spuštění příkazu na serveru ADCS.

Obrázek znázorňuje dialogové okno s přehledem služby ADCS a možnosti výběru při spuštění příkazu na serveru ADCS.


Po dokončení příkazu se ve výstupu příkazového řádku zobrazí ID požadavku. V tomto adresáři se také vytvoří soubor ME4-A.cer, což je náš požadovaný certifikát.

C:\Users\Administrator\Downloads\ME4Certs>certreq -submit -attrib "CertificateTemplate:WebServer" ME4-A.csr ME4-A.cer
Active Directory Enrollment Policy
  {0CCDC8D2-7840-40BE-819F-A7EA9535C5D6}
  ldap:
RequestId: 19
RequestId: "19"
Certificate retrieved(Issued) Issued


Zobrazené ID žádosti je zde 19 a v konzoli MMC pro certifikační autoritu AD se nyní zobrazuje jako platný certifikát v části Issued Certificates.

Obrázek znázorňuje konzoli MMC systému Windows pro certifikační autoritu AD s platným certifikátem v části Issued Certificates.


Pokud chcete zobrazit parametry certifikátu, klikněte pravým tlačítkem na ID žádosti a vyberte možnost Open.

Obrázek znázorňuje vlastnosti nainstalovaného certifikátu.


Tento certifikát je platný jak pro běžný název me4.mscerttest.com, tak pro název kontroleru me4-a.mscerttest.com protože subjekt certifikátu používá v našem konfiguračním souboru alternativní názvy.

Opakujte tento postup pro řadič B a v příkazovém řádku nahraďte ME4-B za ME4-A. Tím se vytvoří jiné ID požadavku pro tento certifikát, protože certifikáty A a B jsou dva různé certifikáty.

Po dokončení by adresář měl obsahovat dva soubory certifikátu. Tyto soubory a s nimi spojené ".key" files jsou to, co se nahrává do kontroleru ME4 A a B. Zkopírujte soubory .cer A a B vygenerované pomocí ADCS a soubory A a B ".key" vygenerované z OpenSSL do společného adresáře pro další krok.

  • ME4-A.cer

  • ME4-A.key

  • ME4-B.cer

  • ME4-B.key

 

Nahrání certifikátů do řadičů

Přeneste soubor certifikátu A a klíče A do řadiče A pomocí protokolu FTP a proveďte totéž pro certifikát B a soubor klíče. Poté restartujte služby správy na obou řadičích, aby se certifikáty aktivovaly. 

Toto nahrání je popsáno v jiném článku podpory společnosti Dell – PowerVault ME4: Instalace a odebrání vlastních certifikátů

Pro toto nahrávání existují dva rozdíly oproti tomuto článku.

  1. Názvy souborů k nahrání v tomto článku končí na ".pem“.

    1. Přípony souborů se nemusí měnit ".cer" a ".key" při nahrávání - lze je použít tak, jak jsou.

  2. Na konci nahrávání FTP dojde k chybě, protože ME4 neví, jak kontaktovat certifikační autoritu služby AD CS za účelem ověření certifikátu. Certifikát byl nahrán správně a je platný, takže chybu lze ignorovat. Chyba vypadá takto:

 

Verifying uploaded certificate and key.
ERROR: cert verify FAILED.
       <C = US, ST = New Hampshire, L = Nashua, O = Dell, OU = IT, CN = me4-a.mscerttest.com
error 20 at 0 depth lookup: unable to get local issuer certificate
error /mnt/ramdisk/apphome/cert-file.pending: verification failed>
Warning: The uploaded SSL certificate did not pass openssl validation. 

 

Ověřte, že certifikáty neobsahují žádné chyby
SSL.Závěrečnými kroky jsou:

  • Otevřete prohlížeč.

  • Vytvořte připojení HTTPS ke společnému názvu

  • Vytvořte připojení HTTPS k plně kvalifikovanému názvu domény řadiče A i B

  • Ujistěte se, že nedošlo k žádným chybám SSL


Poznámka: Pokud použijete společný název, ve výchozím nastavení opakovaně přejde na jeden z řadičů. Ověřte, že se běžný název připojí k druhému řadiči. To lze provést restartováním služeb správy na řadiči, který používá běžný název. Nyní potvrďte, že se připojí k druhému řadiči pro společný plně kvalifikovaný název domény.

Affected Products

OEMR ME40XX and ME4XX, Dell EMC PowerVault ME4012, Dell EMC PowerVault ME4024, Dell EMC PowerVault ME4084
Article Properties
Article Number: 000193591
Article Type: How To
Last Modified: 08 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.