Dell Unity: Slik oppretter du en sikker forespørsel om CA-sertifikatsignering (CSR) på Unity (kan korrigeres av brukeren)
Summary: Nettlesere forventer mer informasjon før nettleseren stoler på et CA-signert sertifikat. Denne prosessen oppretter en sikker forespørsel om sertifikatsignering (CSR) ved hjelp av en konfigurasjonsfil, som skal sendes til CA-signeringsserveren for import til Unity. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Når du er på Unity, oppretter du en forespørsel om CA-sertifikatsignering for Unity.
Unity 5.5
MERK: Hvis Unity bruker Unity Operating Environment 5.5, må du be en senior teknisk støttespesialist om å ta i bruk den interne oppdateringen på svc_custom_cert før du importerer det CA-signerte Unity-sertifikatet.
Se intern KB-artikkel.
Se intern KB-artikkel.
Dell Unity: svc_custom_cert: ERROR: Kan ikke fastslå privat nøkkelstyrke.
Publikumsnivå: Interne
https://www.dell.com/support/kbdoc/en-us/000308965
Publikumsnivå: Interne
https://www.dell.com/support/kbdoc/en-us/000308965
1. SSH til Unity som brukertjeneste.
2. Opprett en konfigurasjonsfil for en forespørsel om CA-sertifikatsignering (CSR).
vi unity-cert.cnf
Kopier teksten fra arbeidseksemplet nedenfor som er mellom de to #===, og lim inn teksten i filen unity-cert.cnf .
Rediger de distinguished_name dn-detaljene slik at de samsvarer med behovene til C-, ST-, L-, OU-, CN- og e-postadressene for Unity.
Rediger "alt_names"-detaljene for subjectAltName slik at de samsvarer med Unitys fullstendige domenenavn (FQDN), vertsnavn og IP-adressebehov.
Her er definisjonslisten for unikt navn (dn) detaljer:
C = 2 bokstav landskode
ST = stat / region
l = sted / by
o = organisasjon
OU = organisasjonsenhet
CN = vanlig navn (Dette er Unitys fullt kvalifiserte DNS-domenenavn (FQDN))
emailAddress = e-postadressen til en gruppe eller en person som administrerer Unity og/eller dets sertifikater.
SubjectAltName er en liste over FQDN, vertsnavn og IP-adresse som kan brukes til å bla til Unity.
Hvis det bare er én DNS-oppføring, kan du bruke DNS=DNS-detaljer og fjerne eller kommentere DNS.1- og DNS.2-oppføringene.
Noen nettsteder har deaktivert subjectAltName-delen fra å støtte IP-adresser. Fjern eller kommenter IP-linjen etter behov.
Nedenfor er et fungerende eksempel på unity-cert.cnf som du må redigere i henhold til dine krav.
#=== [req] default_bits=2048 prompt=no default_md=sha256 distinguished_name=dn req_extensions=v3_req # The extensions to add to a certificate request [dn] C=US ST=Massachusetts L=Hopkinton O=Dell Technologies OU=3CLAB CN=unityf12.3clab.hop.ma.dell.com emailAddress=3clabadmin@3clab.hop.ma.dell.com [v3_req] basicConstraints=critical,CA:FALSE keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement extendedKeyUsage=serverAuth,clientAuth subjectAltName=@alt_names [alt_names] DNS.1=unityf12.3clab.hop.ma.dell.com DNS.2=unityf12 IP.1=10.20.30.40 #===
Lagre filen unity-cert.cnf.
3. Opprett en forespørsel om signering av CSR-sertifikat (.csr) og en privat nøkkel (.pk) som ikke er passordbeskyttet. Unity godtar bare en privat nøkkel som ikke er passordbeskyttet.
openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr
Vis og bekreft at CSRs distinguished_name- og subjectAltName-detaljer oppfyller enhetskravene.
openssl req -verify -noout -text -in unity-cert.csr
4. Send unity-cert.csr-filen til CA-sertifikatsigneringsserveren for å signere.
Bruk enten scp eller WinSCP (ved hjelp av scp-protokoll) for å overføre unity-cert.csr-filen.
Teamet signerer CSR med CA-sertifikatet og oppretter et CA-signert sertifikat for Unity.
Hvis det returnerte sertifikatet kommer som et (.cer), kan det være i "DER"-format og må være i "PEM"-format med filtypen (.crt).
5. Vis det nyopprettede CA-signerte sertifikatet.
openssl x509 -noout -text -in unity-cert.crt
Hvis du ikke kan vise det nyopprettede sertifikatet, konverterer du sertifikatet fra DER-formatet (.cer-utvidelsen) til "PEM" -formatet (.crt-utvidelsen) ved hjelp av følgende kommando:
openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt
6. Vis det nyopprettede CA-signerte sertifikatet.
openssl x509 -noout -text -in unity-cert.crt
Kontroller at utdataene fra det CA-signerte sertifikatet er riktig, og fortsett deretter til neste trinn.
7. Importer CA-signert sertifikat og Unitys private nøkkel på Unity.
MERK: Kommandoen Sertifikatimport, svc_custom_cert trenger to filer.
a. CA-signert sertifikat med en (.CRT) forlengelse.
b. Privat nøkkel som ikke er passordbeskyttet med en (.PK) forlengelse.
svc_custom_cert unity-cert
Hvis du får en feilmelding og Unity kjører OE 5.5
"FEIL: Kan ikke fastslå styrken til privat nøkkel"
Be en senior teknisk støtteperson om å installere den interne oppdateringen på svc_custom_cert før import av et CA-signert sertifikat.
Se intern KB-artikkel
Dell Unity: svc_custom_cert: ERROR: Kan ikke fastslå privat nøkkelstyrke
Publikumsnivå: Interne
https://www.dell.com/support/kbdoc/en-us/000308965
Publikumsnivå: Interne
https://www.dell.com/support/kbdoc/en-us/000308965
Unitys administrasjonstjenester starter på nytt og laster inn det nye sertifikatet. Dette tar 2–5 minutter å fullføre.
ADVARSEL: Hvis Unity ber om en passfrase for privatnøkkelen, avbryter du prosessen ved å trykke Ctrl-C.
Ikke skriv inn passordfrasen. Unity godtar bare en privat nøkkel som ikke er passordbeskyttet.
Unity har ikke en metode for å lagre en privat nøkkel passfrase. Når du skriver inn en passfrase, slutter Unitys Management Services å kjøre. Gå tilbake og gjenta trinnene ovenfor hvis du blir bedt om en passfrase.
Ikke skriv inn passordfrasen. Unity godtar bare en privat nøkkel som ikke er passordbeskyttet.
Unity har ikke en metode for å lagre en privat nøkkel passfrase. Når du skriver inn en passfrase, slutter Unitys Management Services å kjøre. Gå tilbake og gjenta trinnene ovenfor hvis du blir bedt om en passfrase.
8. Når det nye sertifikatet er importert, åpner du nettlesingen og kobler til Unity.
Velg ønsket URL-adresse for å bekrefte at sertifikatet er sikkert, avhengig av behovene dine.
https://FQDN/ https://hostname/ https://Unity_IP_Address/ https://[Unity_IPv6_Address]/
Merk: For min midlertidige Unity eksempel:
FQDN er unityf12.3clab.hop.ma.dell.com
vertsnavn er unityf12 (jeg måtte sørge for min arbeidsstasjon domene søk inkludert 3clab.hop.ma.dell.com).
IP-adresse er 10.20.30.40
Ingen IPv6-adresse er angitt.
Som et eksempel da, for å bla til min Unity, kan jeg bruke:
https://unityf12.3clab.hop.ma.dell.com/ https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) https://10.20.30.40/ https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)
Additional Information
MERK: Skripting av disse trinnene krever spesiell tillatelse for å laste opp skriptet og aktivere serviceskallet på Unity. Dette ville kreve at du aktiverer Dells tekniske støtte.
Bruk av fremgangsmåten ovenfor involverer ikke skripting eller aktivering av serviceskallet.
Ekstra trinn for å validere autoritetskjeden som "modulen" til den private nøkkelen (. PK), forespørsel om sertifikatsignering (. CSR) og det CA-signerte sertifikatet (. CRT) alle samsvarer.
openssl rsa -noout -modulus -in unity-cert.pk | sha256sum openssl req -noout -modulus -in unity-cert.csr | sha256sum openssl x509 -noout -modulus -in unity-cert.crt | sha256sum
Affected Products
Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity FamilyArticle Properties
Article Number: 000203303
Article Type: How To
Last Modified: 12 Jun 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.