Dell Unity: Erstellen einer sicheren CA-Zertifikatsignieranforderung (CSR) auf Unity (vom Nutzer korrigierbar)
Summary: Browser erwarten mehr Informationen, bevor der Browser einem von einer Zertifizierungsstelle signierten Zertifikat vertraut. Dieser Prozess erstellt eine sichere Zertifikatsignieranforderung (CSR) mithilfe einer Konfigurationsdatei, die an den CA-Signierungsserver übermittelt und in Unity importiert wird. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Erstellen Sie auf Unity eine Signierungsanforderung für ein Unity-CSR-CA-Zertifikat.
Unity 5.5
HINWEIS: Wenn Unity in der Unity-Betriebsumgebung 5.5 ausgeführt wird, bitten Sie einen Senior Technical Support-Spezialisten, das interne Update auf svc_custom_cert anzuwenden, bevor Sie das CA-signierte Zertifikat von Unity importieren.
Siehe internen Wissensdatenbank-Artikel.
Siehe internen Wissensdatenbank-Artikel.
Dell Unity: svc_custom_cert: ERROR: Die Stärke des privaten Schlüssels konnte nicht bestimmt werden.
Zielgruppenebene: Interner
https://www.dell.com/support/kbdoc/en-us/000308965
Zielgruppenebene: Interner
https://www.dell.com/support/kbdoc/en-us/000308965
1. SSH in Unity als Nutzerservice.
2. Erstellen Sie eine Konfigurationsdatei für CA Certificate Signing Request (CSR).
vi Unity-cert.cnf
Kopieren Sie den Text aus dem folgenden Arbeitsbeispiel, der sich zwischen den beiden #=== befindet, und fügen Sie den Text in die Datei unity-cert.cnf ein.
Bearbeiten Sie die distinguished_name "dn"-Details so, dass sie den Anforderungen von C, ST, L, OU, CN und emailAddress Ihres Unity entsprechen.
Bearbeiten Sie die subjectAltName "alt_names"-Details so, dass sie den Anforderungen an den vollständig qualifizierten Domänennamen (FQDN), den Hostnamen und die IP-Adresse Ihres Unity entsprechen.
Hier ist die Definitionsliste für DN-Details
(Distinguished Name): C=2 Buchstabe Ländercode
ST=Bundesland/Region
L=Standort/Ort
O=Organisation
OU=Organisationseinheit
CN=Allgemeiner Name (Dies ist der vollständig qualifizierte DNS-Domänenname (FQDN) von Unity))emailAddress
=Die E-Mail-Adresse einer Gruppe oder einer Person, die Unity und/oder deren Zertifikate verwaltet.
subjectAltName ist eine Liste mit FQDN, Hostname und IP-Adresse, die verwendet werden können, um zu Unity zu navigieren.
Wenn nur ein DNS-Eintrag vorhanden ist, können Sie DNS=DNS detail verwenden und die DNS.1- und DNS.2-Einträge entfernen oder auskommentieren.
Einige Websites haben den Abschnitt subjectAltName für die Unterstützung von IP-Adressen deaktiviert. Entfernen oder kommentieren Sie die IP-Zeile nach Bedarf aus.
Im Folgenden finden Sie ein funktionierendes Beispiel für unity-cert.cnf , das Sie gemäß Ihren Anforderungen bearbeiten müssen.
#=== [req] default_bits=2048 prompt=no default_md=sha256 distinguished_name=dn req_extensions=v3_req # The extensions to add to a certificate request [dn] C=US ST=Massachusetts L=Hopkinton O=Dell Technologies OU=3CLAB CN=unityf12.3clab.hop.ma.dell.com emailAddress=3clabadmin@3clab.hop.ma.dell.com [v3_req] basicConstraints=critical,CA:FALSE keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement extendedKeyUsage=serverAuth,clientAuth subjectAltName=@alt_names [alt_names] DNS.1=unityf12.3clab.hop.ma.dell.com DNS.2=unityf12 IP.1=10.20.30.40 #===
Speichern Sie die Datei unity-cert.cnf.
3. Erstellen Sie eine CSR-Zertifikatsignieranforderung (.csr) und einen privaten Schlüssel (.pk), die nicht durch Passphrase geschützt sind. Unity akzeptiert nur einen privaten Schlüssel, der nicht durch eine Passphrase geschützt ist.
openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr
Überprüfen und bestätigen Sie, dass die distinguished_name- und subjectAltName-Details der CSR den Unity-Anforderungen entsprechen.
openssl req -verify -noout -text -in unity-cert.csr
4. Senden Sie die unity-cert.csr Datei an den CA-Zertifikatsignierserver, um sie zu signieren.
Verwenden Sie entweder SCP oder WinSCP (mithilfe des SCP-Protokolls), um die unity-cert.csr Datei zu übertragen.
Das Team signiert die CSR mit dem Zertifikat der Zertifizierungsstelle und erstellt ein von der Zertifizierungsstelle signiertes Zertifikat für Unity.
Wenn das zurückgegebene Zertifikat als (.cer) eintrifft, kann es im DER-Format vorliegen und muss im PEM-Format mit einer Erweiterung (.crt) vorliegen.
5. Zeigen Sie das neu erstellte, von einer Zertifizierungsstelle signierte Zertifikat an.
openssl x509 -noout -text -in unity-cert.crt
Wenn Sie das neu erstellte Zertifikat nicht anzeigen können, konvertieren Sie das Zertifikat mithilfe des folgenden Befehls aus dem DER-Format (Erweiterung .cer) in das PEM-Format (Erweiterung CRT):
openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt
6. Zeigen Sie das neu erstellte, von einer Zertifizierungsstelle signierte Zertifikat an.
openssl x509 -noout -text -in unity-cert.crt
Überprüfen Sie, ob die Ausgabe des von der Zertifizierungsstelle signierten Zertifikats korrekt ist, und fahren Sie mit dem nächsten Schritt fort.
7. Importieren Sie das von der Zertifizierungsstelle signierte Zertifikat und den privaten Schlüssel von Unity auf Unity.
HINWEIS: Für den Befehl zum Importieren svc_custom_cert Zertifikat werden zwei Dateien benötigt.
a. Von einer Zertifizierungsstelle signiertes Zertifikat mit einem (.crt) aus.
b. Privater Schlüssel, der nicht durch Passphrase mit einem (.pk) aus.
svc_custom_cert unity-cert
Wenn Sie eine Fehlermeldung erhalten und Unity OE 5.5
"FEHLER: Die Stärke des privaten Schlüssels konnte nicht bestimmt werden."
Bitten Sie einen leitenden Mitarbeiter des technischen Supports, das interne Update auf svc_custom_cert anzuwenden, bevor Sie ein CA-signiertes Zertifikat importieren.
Siehe internen Wissensdatenbank-Artikel
Dell Unity: svc_custom_cert: ERROR: Die Stärke
des privaten Schlüssels konnte nicht bestimmt werden Zielgruppenebene: Interner
https://www.dell.com/support/kbdoc/en-us/000308965
des privaten Schlüssels konnte nicht bestimmt werden Zielgruppenebene: Interner
https://www.dell.com/support/kbdoc/en-us/000308965
Die Managementservices von Unity werden neu gestartet und laden das neue Zertifikat. Dies kann 2 bis 5 Minuten dauern.
WARNUNG: Wenn Unity die Passphrase für den privaten Schlüssel anfordert, brechen Sie den Prozess ab, indem Sie Strg-C drücken.
Geben Sie nicht die Passphrase ein. Unity akzeptiert nur einen privaten Schlüssel, der nicht durch eine Passphrase geschützt ist.
Unity verfügt nicht über eine Methode zum Speichern einer Passphrase für einen privaten Schlüssel. Die Eingabe einer Passphrase führt dazu, dass die Managementservices von Unity nicht mehr ausgeführt werden. Gehen Sie zurück und wiederholen Sie die obigen Schritte, wenn Sie nach einer Passphrase gefragt werden.
Geben Sie nicht die Passphrase ein. Unity akzeptiert nur einen privaten Schlüssel, der nicht durch eine Passphrase geschützt ist.
Unity verfügt nicht über eine Methode zum Speichern einer Passphrase für einen privaten Schlüssel. Die Eingabe einer Passphrase führt dazu, dass die Managementservices von Unity nicht mehr ausgeführt werden. Gehen Sie zurück und wiederholen Sie die obigen Schritte, wenn Sie nach einer Passphrase gefragt werden.
8. Sobald das neue Zertifikat importiert wurde, öffnen Sie Ihr Internet, durchsuchen Sie es und stellen Sie eine Verbindung zu Unity her.
Wählen Sie je nach Ihren Anforderungen die gewünschte URL aus, um zu bestätigen, dass das Zertifikat sicher ist.
https://FQDN/ https://hostname/ https://Unity_IP_Address/ https://[Unity_IPv6_Address]/
Hinweis: Für mein temporäres Unity-Beispiel:
FQDN ist unityf12.3clab.hop.ma.dell.com
Hostname ist unityf12 (ich musste sicherstellen, dass die Domain-Suche meiner Workstation 3clab.hop.ma.dell.com enthält).
IP-Adresse: 10.20.30.40
Es wurde keine IPv6-Adresse angegeben.
Um beispielsweise zu meinem Unity zu navigieren, kann ich Folgendes verwenden:
https://unityf12.3clab.hop.ma.dell.com/ https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) https://10.20.30.40/ https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)
Additional Information
HINWEIS: Für die Skripterstellung für diese Schritte ist eine spezielle Berechtigung zum Hochladen des Skripts und zum Aktivieren der Service-Shell auf Unity erforderlich. Dazu müsste der technische Support von Dell eingeschaltet werden.
Bei Verwendung des obigen Verfahrens müssen Sie keine Skripts erstellen oder die Service-Shell aktivieren.
Zusätzliche Schritte zur Validierung der Autoritätskette, die der "Modulus" des privaten Schlüssels (. PK), Zertifikatsignieranforderung (. CSR) und das CA-signierte Zertifikat (. CRT) stimmen alle überein.
openssl rsa -noout -modulus -in unity-cert.pk | sha256sum openssl req -noout -modulus -in unity-cert.csr | sha256sum openssl x509 -noout -modulus -in unity-cert.crt | sha256sum
Affected Products
Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity FamilyArticle Properties
Article Number: 000203303
Article Type: How To
Last Modified: 12 Jun 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.