Dell Unity: Cómo crear una solicitud de firma de certificado (CSR) de CA segura en Unity (corregible por el usuario)

En Unity, cree una solicitud de firma de certificado de CA de CSR de Unity.

Unity 5.5

1. Acceda mediante SSH a Unity como servicio al usuario.

2. Cree un archivo de configuración de solicitud de firma de certificado (CSR) de CA.

vi unity-cert.cnf
Copie el texto del siguiente ejemplo de trabajo que se encuentra entre los dos #=== y pegue el texto en el archivo unity-cert.cnf .
Edite los detalles de distinguished_name "dn" para que coincidan con las necesidades de C, ST, L, OU, CN y emailAddress de Unity.
Edite los detalles subjectAltName "alt_names" para que coincidan con las necesidades de nombre de dominio completo (FQDN), nombre de host y dirección IP de Unity.

Esta es la lista de definiciones para los detalles del nombre distinguido (dn):
C = 2 letras Código
de país ST = Estado/región
L = Ubicación/ciudad
O = Organización
OU = Unidad
de organización CN = Nombre común (este es el nombre de dominio DNS completamente calificado (FQDN) de Unity))
emailAddress=La dirección de correo electrónico de un grupo o una persona que administra Unity y/o sus certificados.

El subjectAltName es una lista de FQDN, nombre de host y dirección IP que se pueden usar para navegar a Unity.
Si solo hay una entrada de DNS, puede utilizar los detalles de DNS=DNS y eliminar o comentar las entradas DNS.1 y DNS.2.
Algunos sitios han deshabilitado la sección subjectAltName para que no admita direcciones IP. Elimine o comente la línea IP según sea necesario.

A continuación, se muestra un ejemplo funcional de unity-cert.cnf que debe editar según sus requisitos.

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

Guarde el archivo unity-cert.cnf. 

3. Cree una solicitud de firma de certificado CSR (.csr) y una clave privada (.pk) que no estén protegidas con frase de contraseña. Unity solo acepta una clave privada que no está protegida con una frase de contraseña.

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   Ver y confirmar que los detalles de distinguished_name y subjectAltName de la CSR cumplan con los requisitos de Unity.

   openssl req -verify -noout -text -in unity-cert.csr

4. Envíe el archivo de unity-cert.csr al servidor de firma de certificados de CA para que se firme.
    Utilice scp o WinSCP (mediante el protocolo scp) para transferir el archivo unity-cert.csr.
    El equipo firma la CSR con el certificado de la CA y crea un certificado firmado por la CA para Unity.
     Si el certificado devuelto llega como un (.cer), puede estar en el formato "DER" y debe estar en el formato "PEM" con una extensión (.crt).

5. Vea el certificado firmado por una CA recién creado.

   openssl x509 -noout -text -in unity-cert.crt

   Si no puede ver el certificado recién creado, convierta el certificado del formato "DER" (extensión .cer) al formato "PEM" (extensión .crt) mediante el siguiente comando:

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6. Vea el certificado firmado por una CA recién creado.

   openssl x509 -noout -text -in unity-cert.crt

   Verifique que el resultado del certificado firmado por CA sea correcto y, a continuación, continúe con el paso siguiente.

7. Importe el certificado firmado por una CA y la clave privada de Unity en Unity.
   

         a. Certificado firmado por CA con un (.crt) extensión.
         b. Clave privada que no es Frase de contraseña protegida con un (.pk) extensión. 
 

   svc_custom_cert unity-cert

        Si aparece un mensaje de error y Unity está ejecutando OE 5.5
"ERROR: No se pudo determinar la solidez de la clave privada"
Solicite a una persona de soporte técnico superior que aplique la actualización interna a svc_custom_cert antes de importar un certificado firmado por una CA.

   Los servicios de administración de Unity se reiniciarán y cargarán el nuevo certificado. Esto tarda entre 2 y 5 minutos en completarse.
      
   

8. Una vez que se importe el nuevo certificado, abra su navegador web y conéctese a Unity.
    Según sus necesidades, elija la URL deseada para confirmar que el certificado es seguro.

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
Nota: Para mi ejemplo temporal de Unity:
FQDN es unityf12.3clab.hop.ma.dell.com
nombre de host es unityf12 (tuve que asegurarme de que la búsqueda de dominio de mi estación de trabajo incluyera 3clab.hop.ma.dell.com).
La dirección IP es 10.20.30.40
. No se especificó ninguna dirección IPv6.

Como ejemplo, para navegar a mi Unity, puedo usar:

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

El uso del procedimiento anterior no implica la creación de scripts ni la habilitación del shell de servicio.

Pasos adicionales para validar la cadena de autoridad que el "módulo" de la clave privada (. PK), solicitud de firma de certificado (. CSR) y el certificado firmado por una CA (. CRT) todos coinciden.

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum