Dell Unity : Création d’une demande de signature de certificat d’autorité de certification sécurisée (CSR) sur Unity (corrigible par l’utilisateur)
Summary: Les navigateurs attendent plus d’informations avant d’approuver un certificat signé par une autorité de certification. Ce processus crée une demande de signature de certificat (CSR) sécurisée à l’aide d’un fichier de configuration, à soumettre au serveur de signature de l’autorité de certification pour être importée dans Unity. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Sur Unity, créez une demande de signature de certificat d’autorité de certification CSR Unity.
Unity 5.5
Remarque : Si Unity fonctionne sur l’environnement d’exploitation Unity 5.5, demandez à un spécialiste senior du support technique d’appliquer la mise à jour interne à svc_custom_cert avant d’importer le certificat signé par une autorité de certification Unity.
Reportez-vous à l’article interne de la base de connaissances.
Reportez-vous à l’article interne de la base de connaissances.
Dell Unity : svc_custom_cert : ERROR: Impossible de déterminer la force de la clé privée.
Niveau d’audience : Interne
https://www.dell.com/support/kbdoc/en-us/000308965
Niveau d’audience : Interne
https://www.dell.com/support/kbdoc/en-us/000308965
1. SSH dans Unity en tant que service utilisateur.
2. Créez un fichier de configuration de demande de signature de certificat d’autorité de certification (CSR).
vi unity-cert.cnf
Copiez le texte de l’exemple ci-dessous qui se trouve entre les deux #=== et collez le texte dans le fichier unity-cert.cnf .
Modifiez les détails « dn » du distinguished_name pour qu’ils correspondent aux besoins C, ST, L, OU, CN et EmailAddress de votre Unity.
Modifiez les détails du « alt_names » subjectAltName pour qu’ils correspondent à vos besoins en matière de nom de domaine complet (FQDN), de nom d’hôte et d’adresse IP Unity.
Voici la liste des définitions pour les détails du nom unique (dn) :
C = Code du pays
de 2 lettres ST = État/Région
L = Emplacement / Ville
O = Organisation
OU = Unité
organisationnelle CN = Nom commun (Il s’agit du nom de domaine DNS complet (FQDN) de Unity))
emailAddress = adresse e-mail d’un groupe ou d’une personne qui gère Unity et/ou ses certificats.
Le subjectAltName est une liste de noms de domaine complets, de noms d’hôte et d’adresses IP qui peuvent être utilisés pour accéder à Unity.
S’il n’y a qu’une seule entrée DNS, vous pouvez utiliser les détails DNS=DNS et supprimer ou commenter les entrées DNS.1 et DNS.2.
Certains sites ont désactivé la section subjectAltName de la prise en charge des adresses IP. Supprimez la ligne IP ou supprimez-la en commentaire selon les besoins.
Vous trouverez ci-dessous un exemple fonctionnel de unity-cert.cnf que vous devez modifier selon vos besoins.
#=== [req] default_bits=2048 prompt=no default_md=sha256 distinguished_name=dn req_extensions=v3_req # The extensions to add to a certificate request [dn] C=US ST=Massachusetts L=Hopkinton O=Dell Technologies OU=3CLAB CN=unityf12.3clab.hop.ma.dell.com emailAddress=3clabadmin@3clab.hop.ma.dell.com [v3_req] basicConstraints=critical,CA:FALSE keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement extendedKeyUsage=serverAuth,clientAuth subjectAltName=@alt_names [alt_names] DNS.1=unityf12.3clab.hop.ma.dell.com DNS.2=unityf12 IP.1=10.20.30.40 #===
Enregistrez le fichier unity-cert.cnf.
3. Créez une demande de signature de certificat CSR (.csr) et une clé privée (.pk) qui n’est pas protégée par phrase secrète. Unity accepte uniquement une clé privée qui n’est pas protégée par phrase de passe.
openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr
Affichez et confirmez que le distinguished_name de la CSR et les détails subjectAltName répondent aux exigences Unity.
openssl req -verify -noout -text -in unity-cert.csr
4. Envoyez le fichier unity-cert.csr au serveur de signature du certificat de l’autorité de certification pour qu’il le signe.
Utilisez scp ou WinSCP (à l’aide du protocole scp) pour transférer le fichier unity-cert.csr.
L’équipe signe la CSR avec le certificat de l’autorité de certification et crée un certificat signé par l’autorité de certification pour Unity.
Si le certificat renvoyé arrive au format (.cer), il peut être au format « DER » et doit être au format « PEM » avec une extension (.crt).
5. Affichez le certificat signé par une autorité de certification nouvellement créé.
openssl x509 -noout -text -in unity-cert.crt
Si vous ne parvenez pas à afficher le certificat nouvellement créé, convertissez le certificat du format « DER » (extension .cer) au format « PEM » (extension .crt), à l’aide de la commande suivante :
openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt
6. Affichez le certificat signé par une autorité de certification nouvellement créé.
openssl x509 -noout -text -in unity-cert.crt
Vérifiez que la sortie du certificat signé par une autorité de certification est correcte, puis passez à l’étape suivante.
7. Importez le certificat signé par une autorité de certification et la clé privée Unity sur Unity.
Remarque : La commande d’importation de certificat, svc_custom_cert a besoin de deux fichiers.
a. Certificat signé par une autorité de certification avec un (.CRT) extension.
b. Clé privée qui n’est pas protégée par une phrase secrète (.pk) extension.
svc_custom_cert unity-cert
Si vous recevez un message d’erreur et si Unity exécute OE 5.5
« ERROR : Could not determine private key strength »
Demandez à un membre du support technique senior d’appliquer la mise à jour interne à svc_custom_cert avant d’importer un certificat signé par une autorité de certification.
Voir l’article interne de la base de connaissances
Dell Unity : svc_custom_cert : ERROR: Impossible de déterminer le niveau de sécurité de la
clé privée Niveau d’audience : Interne
https://www.dell.com/support/kbdoc/en-us/000308965
clé privée Niveau d’audience : Interne
https://www.dell.com/support/kbdoc/en-us/000308965
Les services de gestion Unity redémarrent et chargent le nouveau certificat. Cette opération prend 2 à 5 minutes.
AVERTISSEMENT : Si Unity demande la phrase secrète de la clé privée, annulez le processus en appuyant sur Ctrl-C.
Ne saisissez pas la phrase secrète. Unity accepte uniquement une clé privée qui n’est pas protégée par phrase de passe.
Unity ne dispose pas d’une méthode pour stocker une phrase secrète de clé privée. La saisie d’une phrase secrète entraîne l’arrêt de l’exécution des services de gestion de Unity. Revenez en arrière et répétez les étapes ci-dessus si une phrase secrète est demandée.
Ne saisissez pas la phrase secrète. Unity accepte uniquement une clé privée qui n’est pas protégée par phrase de passe.
Unity ne dispose pas d’une méthode pour stocker une phrase secrète de clé privée. La saisie d’une phrase secrète entraîne l’arrêt de l’exécution des services de gestion de Unity. Revenez en arrière et répétez les étapes ci-dessus si une phrase secrète est demandée.
8. Une fois le nouveau certificat importé, ouvrez votre navigation Web et connectez-vous à Unity.
En fonction de vos besoins, choisissez l’URL souhaitée pour confirmer que le certificat est sécurisé.
https://FQDN/ https://hostname/ https://Unity_IP_Address/ https://[Unity_IPv6_Address]/
Remarque : Pour mon Unity temporaire :
le FQDN est unityf12.3clab.hop.ma.dell.com
le nom d’hôte est unityf12 (j’ai dû m’assurer que la recherche de domaine de ma station de travail incluait 3clab.hop.ma.dell.com).
L’adresse IP est 10.20.30.40
. Aucune adresse IPv6 n’est spécifiée.
Par exemple, pour accéder à mon système Unity, je peux utiliser :
https://unityf12.3clab.hop.ma.dell.com/ https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) https://10.20.30.40/ https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)
Additional Information
Remarque : La rédaction de scripts pour ces étapes nécessite une autorisation spéciale pour télécharger le script et activer le shell de service sur Unity. Cela nécessite de faire appel au support technique Dell.
L’utilisation de la procédure ci-dessus n’implique pas la rédaction de scripts ou l’activation du shell de service.
Étapes supplémentaires pour valider la chaîne d’autorité que le « module » de la clé privée (. PK), Demande de signature de certificat (. CSR) et le certificat signé par une autorité de certification (. CRT) tous correspondent.
openssl rsa -noout -modulus -in unity-cert.pk | sha256sum openssl req -noout -modulus -in unity-cert.csr | sha256sum openssl x509 -noout -modulus -in unity-cert.crt | sha256sum
Affected Products
Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity FamilyArticle Properties
Article Number: 000203303
Article Type: How To
Last Modified: 12 Jun 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.