Dell Unity: Sådan opretter du en sikker CA-anmodning om certifikatsignering (CSR) på Unity (kan rettes af brugeren)
Summary: Browsere forventer flere oplysninger, før browseren har tillid til et CA-signeret certifikat. Denne proces opretter en sikker anmodning om certifikatsignering (CSR) ved hjælp af en konfigurationsfil, der skal sendes til CA Signing Server, og som skal importeres til Unity. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
På Unity skal du oprette en anmodning om signering af Unity CSR CA-certifikat.
Enhed 5.5
BEMÆRK: Hvis Unity opererer på Unity-driftsmiljø 5.5, skal du anmode en senior teknisk supportspecialist om at anvende den interne opdatering på svc_custom_cert , før du importerer Unitys CA-signerede certifikat.
Se intern KB-artikel.
Se intern KB-artikel.
Dell Unity: svc_custom_cert: ERROR: Kunne ikke bestemme privat nøglestyrke.
Målgruppeniveau: Internt
https://www.dell.com/support/kbdoc/en-us/000308965
Målgruppeniveau: Internt
https://www.dell.com/support/kbdoc/en-us/000308965
1. SSH til Unity som kundeservice.
2. Opret en CSR-konfigurationsfil (CA Certificate Signing Request).
Vi Unity-cert.cnf
Kopiér teksten fra nedenstående arbejdseksempel, der ligger mellem de to #===, og indsæt teksten i filen unity-cert.cnf .
Rediger de distinguished_name "dn"-oplysninger, så de passer til din Unitys C-, ST-, L-, OU-, CN- og emailAddress-behov.
Rediger oplysningerne om emnetAltName "alt_names", så de svarer til din Unitys behov for fuldt kvalificeret domænenavn (FQDN), værtsnavn og IP-adresse.
Her er definitionslisten for detaljer
om entydigt navn (dn): C = 2 bogstav Landekode
ST = Stat / Region
L = Placering / By
O = Organisation
OU = Organisationsenhed
CN = Fælles navn (Dette er Unitys fuldt kvalificerede DNS-domænenavn (FQDN))
)emailAddress = E-mailadressen på en gruppe eller en person, der administrerer Unity og/eller dets certifikater.
subjectAltName er en liste over FQDN, værtsnavn og IP-adresse, der kan bruges til at gå til Unity.
Hvis der kun er én DNS-post, kan du bruge DNS=DNS-detaljer og fjerne eller kommentere DNS.1- og DNS.2-posterne.
Nogle websteder har deaktiveret afsnittet subjectAltName fra at understøtte IP-adresser. Fjern eller kommenter IP-linjen efter behov.
Nedenfor er et fungerende eksempel på unity-cert.cnf , som du skal redigere efter dine behov.
#=== [req] default_bits=2048 prompt=no default_md=sha256 distinguished_name=dn req_extensions=v3_req # The extensions to add to a certificate request [dn] C=US ST=Massachusetts L=Hopkinton O=Dell Technologies OU=3CLAB CN=unityf12.3clab.hop.ma.dell.com emailAddress=3clabadmin@3clab.hop.ma.dell.com [v3_req] basicConstraints=critical,CA:FALSE keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement extendedKeyUsage=serverAuth,clientAuth subjectAltName=@alt_names [alt_names] DNS.1=unityf12.3clab.hop.ma.dell.com DNS.2=unityf12 IP.1=10.20.30.40 #===
Gem filen unity-cert.cnf.
3. Opret en anmodning om CSR-certifikatsignering (.csr) og en privat nøgle (.pk), der ikke er beskyttet af adgangssætninger. Unity accepterer kun en privat nøgle, der ikke er beskyttet af adgangsudtryk.
openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr
Se og bekræft, at CSR'ens distinguished_name og subjectAltName-oplysninger opfylder Unity-kravene.
openssl req -verify -noout -text -in unity-cert.csr
4. Send filen unity-cert.csr til CA-certifikatsigneringsserveren, så den signeres.
Brug enten scp eller WinSCP (ved hjælp af scp-protokollen) til at overføre unity-cert.csr filen.
Teamet underskriver CSR'en med CA's certifikat og opretter et CA-signeret certifikat for Unity.
Hvis det returnerede certifikat ankommer som et (.cer), kan det være i "DER"-formatet og skal være i "PEM"-formatet med filtypenavnet (.crt).
5. Få vist det nyoprettede CA-signerede certifikat.
openssl x509 -noout -text -in unity-cert.crt
Hvis du ikke kan få vist det nyoprettede certifikat, skal du konvertere certifikatet fra "DER"-formatet (.cer udvidelse) til "PEM"-formatet (filtypenavnet .crt) ved hjælp af følgende kommando:
openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt
6. Få vist det nyoprettede CA-signerede certifikat.
openssl x509 -noout -text -in unity-cert.crt
Kontroller, at outputtet af det CA-signerede certifikat er korrekt, og fortsæt derefter til næste trin.
7. Importer det CA-signerede certifikat og enhedens private nøgle på enheden.
BEMÆRK: Kommandoen Certifikatimport skal svc_custom_cert bruge to filer.
a. CA-signeret certifikat med en (.CRT) udvidelse.
b. Privat nøgle, der ikke er adgangsudtryk beskyttet med en (.PK) udvidelse.
svc_custom_cert unity-cert
Hvis du får en fejlmeddelelse, og Unity kører OE 5.5
"FEJL: Kunne ikke bestemme den private nøgles styrke"
Bed en højtstående teknisk supportmedarbejder om at anvende den interne opdatering på svc_custom_cert, før du importerer et CA-signeret certifikat.
Se intern KB-artikel
Dell Unity: svc_custom_cert: ERROR: Kunne ikke bestemme styrken af
den private nøgle Målgruppeniveau: Internt
https://www.dell.com/support/kbdoc/en-us/000308965
den private nøgle Målgruppeniveau: Internt
https://www.dell.com/support/kbdoc/en-us/000308965
Unitys administrationstjenester genstarter og indlæser det nye certifikat. Dette tager 2-5 minutter at gennemføre.
ADVARSEL: Hvis Unity beder om adgangssætningen til den private nøgle, skal du annullere processen ved at trykke på Ctrl-C.
Indtast ikke adgangssætningen. Unity accepterer kun en privat nøgle, der ikke er beskyttet af adgangsudtryk.
Unity har ikke en metode til at gemme en adgangssætning til privat nøgle. Indtastning af en adgangssætning får Unitys administrationstjenester til at stoppe med at køre. Gå tilbage, og udfør ovenstående trin igen, hvis du bliver bedt om en adgangssætning.
Indtast ikke adgangssætningen. Unity accepterer kun en privat nøgle, der ikke er beskyttet af adgangsudtryk.
Unity har ikke en metode til at gemme en adgangssætning til privat nøgle. Indtastning af en adgangssætning får Unitys administrationstjenester til at stoppe med at køre. Gå tilbage, og udfør ovenstående trin igen, hvis du bliver bedt om en adgangssætning.
8. Når det nye certifikat er importeret, skal du åbne din webbrowsing og oprette forbindelse til Unity.
Afhængigt af dine behov skal du vælge den ønskede URL-adresse for at bekræfte, at certifikatet er sikkert.
https://FQDN/ https://hostname/ https://Unity_IP_Address/ https://[Unity_IPv6_Address]/
Bemærk: For mit midlertidige Unity-eksempel:
FQDN er unityf12.3clab.hop.ma.dell.com
værtsnavnet er unityf12 (jeg var nødt til at sikre, at min arbejdsstations domænesøgning inkluderede 3clab.hop.ma.dell.com).
IP-adressen er 10.20.30.40
Der er ikke angivet nogen IPv6-adresse.
Som et eksempel kan jeg for at gå til min enhed bruge:
https://unityf12.3clab.hop.ma.dell.com/ https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) https://10.20.30.40/ https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)
Additional Information
BEMÆRK: Scripting af disse trin kræver særlig tilladelse til at uploade scriptet og aktivere service shell på Unity. Dette ville kræve at engagere Dells tekniske support.
Brug af ovenstående procedure involverer ikke scripting eller aktivering af serviceskallen.
Ekstra trin til validering af autoritetskæden, som "modulet" i den private nøgle (. PK), anmodning om certifikatsignering (. CSR) og det CA-signerede certifikat (. CRT) alle matcher.
openssl rsa -noout -modulus -in unity-cert.pk | sha256sum openssl req -noout -modulus -in unity-cert.csr | sha256sum openssl x509 -noout -modulus -in unity-cert.crt | sha256sum
Affected Products
Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity FamilyArticle Properties
Article Number: 000203303
Article Type: How To
Last Modified: 12 Jun 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.