Dell Unity：UnityでセキュアCA証明書署名要求(CSR)を作成する方法(ユーザー修正可能)

Unityで、Unity CSR CA証明書署名リクエストを作成します。

Unity 5.5

1.ユーザー サービスとしてUnityにSSHで接続します。

2.CA証明書署名要求(CSR)構成ファイルを作成します。

vi unity-cert.cnf
2つの#=== の間にある以下の作業例からテキストをコピーし、そのテキストを unity-cert.cnf ファイルに貼り付けます
UnityのC、ST、L、OU、CN、EMAILAddressのニーズに合わせて、distinguished_name「dn」の詳細を編集します
Unityの完全修飾ドメイン名(FQDN)、ホスト名、IPアドレスのニーズに合わせて、subjectAltName「alt_names」の詳細を編集します

識別名 (dn) の詳細の定義リストは次のとおりです:
C=2 文字の国コード
ST=州/地域
L=場所/市区町村
O=組織
OU=組織単位
CN=共通名(これはUnityの完全修飾DNSドメイン名(FQDN)です)
emailAddress=Unityおよび/またはその証明書を管理するグループまたは個人の電子メールアドレス

subjectAltNameは、FQDN、ホスト名、IPアドレスのリストで、Unity.
を参照するために使用できます。DNSエントリーが1つしかない場合は、DNS=DNS detailを使用して、DNS.1およびDNS.2エントリーを削除するか、コメント アウトできます
一部のサイトでは、subjectAltName セクションのサポート IP アドレスが無効になっています。必要に応じて、IP行を削除またはコメント アウトします。

以下は、要件に合わせて編集する必要がある unity-cert.cnf の実際の例です。

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

unity-cert.cnf ファイルを保存します。

3.パスフレーズで保護されていないCSR証明書署名リクエスト(.csr)とプライベート キー(.pk)を作成します。Unityは、パスフレーズで保護されていないプライベート キーのみを受け入れます。

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   CSRのdistinguished_nameとsubjectAltNameの詳細を表示し、Unityの要件を満たしていることを確認します。

   openssl req -verify -noout -text -in unity-cert.csr

4.unity-cert.csrファイルをCA証明書署名サーバーに送信して署名します。
    scpまたはWinSCP(scpプロトコルを使用)のいずれかを使用して、unity-cert.csrファイルを転送します。
    チームは、CAの証明書を使用してCSRに署名し、Unity用のCA署名済み証明書を作成します。
     返送された証明書が(.cer)として届いた場合、「DER」形式である可能性があります。また、「PEM」形式に拡張子(.crt)を付けたものである必要があります

5.新しく作成したCA署名済み証明書を表示します。

   openssl x509 -noout -text -in unity-cert.crt

   新しく作成した証明書を表示できない場合は、次のコマンドを使用して証明書を「DER」形式(.cer拡張子)から「PEM」形式(拡張子.crt)に変換します。

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6.新しく作成したCA署名済み証明書を表示します。

   openssl x509 -noout -text -in unity-cert.crt

   CA署名証明書の出力が正しいことを確認してから、次の手順に進みます

7.CA署名済み証明書とUnityのプライベート キーをUnityにインポートします。
   

         a. CA 署名済み証明書に (.crt) 拡張子が付きます。
         b. パスフレーズで保護されていない秘密鍵 (.pk) 拡張子を付けます。 
 

   svc_custom_cert unity-cert

        UnityでOE 5.5を実行している場合にエラー メッセージが表示された場合は
エラー メッセージ「ERROR: Could not determine private key strength」というエラーが表示されることがあります
CA署名済み証明書をインポートする前に、内部アップデートをsvc_custom_certに適用するようシニア テクニカル サポート担当者に依頼してください。

   Unityの管理サービスが再起動し、新しい証明書がロードされます。これには 2 分から 5 分かかります。
      
   

8.新しい証明書がインポートされたら、Webブラウズを開き、Unityに接続します。
    必要に応じて、目的の URL を選択して、証明書が安全であることを確認します。

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
注：一時的なUnityの例の場合:
FQDNは unityf12.3clab.hop.ma.dell.com
ホスト名はunityf12です(ワークステーションのドメイン検索に 3clab.hop.ma.dell.com が含まれていることを確認する必要がありました)。
IPアドレスは10.20.30.40
IPv6アドレスが指定されていません

例として、Unityを参照するには、次のようにします。

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

上記の手順を使用する場合、スクリプトを作成したり、サービス シェルを有効にしたりする必要はありません。

秘密キーの "モジュラス" である権限チェーンを検証するための追加の手順 (.PK)、証明書署名要求 (.CSR) と CA 署名付き証明書 (.CRT) がすべて一致します。

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum