Dell Unity: Come creare una richiesta di firma del certificato (CSR) CA sicura su Unity (correggibile dall'utente)

In Unity, creare una richiesta di firma del certificato CA CSR Unity.

Unity 5.5

1. SSH in Unity come servizio utente.

2. Creare un file di configurazione CSR (Certificate Signing Request) CA.

vi unity-cert.cnf
Copiare il testo dall'esempio funzionante riportato di seguito compreso tra i due #== = e incollare il testo nel file unity-cert.cnf .
Modificare i distinguished_name dettagli "dn" in modo che corrispondano alle esigenze C, ST, L, OU, CN e emailAddress di Unity.
Modificare i dettagli del subjectAltName "alt_names" in modo che corrispondano alle esigenze del nome di dominio completo (FQDN), del nome host e dell'indirizzo IP di Unity.

Di seguito è riportato l'elenco delle definizioni per i dettagli
del nome distinto (dn): C = 2 lettere Codice
paese ST = Stato/regione
L = Posizione / Città
O = Organizzazione
OU = Unità
organizzazione CN = Nome comune (questo è il nome di dominio DNS completo (FQDN) di Unity)
emailAddress=Indirizzo e-mail di un gruppo o di una persona che gestisce Unity e/o i relativi certificati.

subjectAltName è un elenco di FQDN, nome host e indirizzo IP che possono essere utilizzati per accedere a Unity.
Se è presente una sola voce DNS, è possibile utilizzare DNS=DNS detail e rimuovere o commentare le voci DNS.1 e DNS.2.
Alcuni siti hanno disabilitato la sezione subjectAltName dal supportare gli indirizzi IP. Rimuovere o commentare la riga IP in base alle esigenze.

Di seguito è riportato un esempio funzionante di unity-cert.cnf che è necessario modificare in base ai propri requisiti.

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

Salvare il file unity-cert.cnf. 

3. Creare una richiesta di firma del certificato CSR (.csr) e una chiave privata (.pk) non protetta da passphrase. Unity accetta solo una chiave privata non protetta da passphrase.

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   Visualizzare e verificare che i dettagli distinguished_name e subjectAltName della CSR soddisfino i requisiti di Unity.

   openssl req -verify -noout -text -in unity-cert.csr

4. Inviare il file unity-cert.csr al server di firma del certificato CA da firmare.
    Utilizzare scp o WinSCP (utilizzando il protocollo scp) per trasferire il file unity-cert.csr.
    Il team firma la CSR con il certificato della CA e crea un certificato firmato dalla CA per Unity.
     Se il certificato restituito arriva come (.cer), può essere nel formato "DER" e deve essere nel formato "PEM" con estensione (.crt).

5. Visualizzare il certificato firmato dall'autorità di certificazione appena creato.

   openssl x509 -noout -text -in unity-cert.crt

   Se non si è in grado di visualizzare il certificato appena creato, convertire il certificato dal formato "DER" (estensione .cer) al formato "PEM" (estensione .crt), utilizzando il seguente comando:

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6. Visualizzare il certificato firmato dall'autorità di certificazione appena creato.

   openssl x509 -noout -text -in unity-cert.crt

   Verificare che l'output del certificato firmato dalla CA sia corretto, quindi procedere al passaggio successivo.

7. Importare il certificato firmato dalla CA e la chiave privata di Unity su Unity.
   

         a. Certificato firmato dalla CA con un (.CRT).
         b. Chiave privata non protetta da passphrase con un (.pk) estensione. 
 

   svc_custom_cert unity-cert

        Se viene visualizzato un messaggio di errore e Unity esegue OE 5.5
"ERRORE: Impossibile determinare la forza della chiave privata"
Prima di importare un certificato firmato dall'autorità di certificazione, rivolgersi a un responsabile senior del supporto tecnico per applicare l'aggiornamento interno all svc_custom_cert IT.

   I servizi di gestione di Unity verranno riavviati e caricheranno il nuovo certificato. Il completamento di questa operazione richiede 2-5 minuti.
      
   

8. Una volta importato il nuovo certificato, aprire la navigazione web e connettersi a Unity.
    A seconda delle proprie esigenze, scegliere l'URL desiderato per confermare che il certificato è sicuro.

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
Nota: Per il mio esempio temporaneo di Unity:
FQDN è unityf12.3clab.hop.ma.dell.com
nome host è unityf12 (ho dovuto assicurarmi che la ricerca del dominio della mia workstation includesse 3clab.hop.ma.dell.com).
L'indirizzo IP è 10.20.30.40
Non è specificato alcun indirizzo IPv6.

A titolo di esempio, quindi, per accedere al mio Unity, posso utilizzare:

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

L'utilizzo della procedura descritta in precedenza non comporta lo scripting o l'abilitazione della shell di servizio.

Ulteriori passaggi per convalidare la catena di autorità che il "modulo" della chiave privata (. PK), Richiesta di firma del certificato (. CSR) e il certificato firmato dalla CA (. CRT) tutti corrispondono.

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum