Dell Unity: Tworzenie żądania podpisania certyfikatu bezpiecznego CA (CSR) w Unity (możliwość naprawienia przez użytkownika)

W Unity utwórz żądanie podpisania certyfikatu CA CSR Unity.

Jedność 5.5

1. SSH do Unity jako usługa użytkownika.

2. Utwórz plik konfiguracyjny żądania podpisania certyfikatu (CSR) przez instytucję certyfikującą.

vi unity-cert.cnf
Skopiuj tekst z poniższego przykładu roboczego, który znajduje się między dwoma #=== i wklej tekst do pliku unity-cert.cnf .
Edytuj szczegóły distinguished_name "dn", aby dopasować je do potrzeb Unity, C, ST, L, OU, CN i adresu e-mail.
Edytuj szczegóły "alt_names" subjectAltName, aby dopasować je do potrzeb w zakresie pełnej kwalifikowanej nazwy domeny (FQDN), nazwy hosta i adresu IP aparatu Unity.

Oto lista definicji dla szczegółów
nazwy wyróżniającej (dn):C=2-literowy kod
kraju ST=Stan/region
L=Lokalizacja/miasto
O=Jednostka organizacyjna
OU=Jednostka
organizacyjna CN=Nazwa pospolita (jest to w pełni kwalifikowana nazwa domeny DNS (FQDN) Unity))
emailAddress=Adres e-mail grupy lub osoby, która zarządza Unity i/lub jej certyfikatami.

SubjectAltName to lista nazw FQDN, nazw hostów i adresów IP, których można użyć do przeglądania aparatu Unity.
Jeśli istnieje tylko jeden wpis DNS, można użyć szczegółów DNS=DNS i usunąć lub skomentować wpisy DNS.1 i DNS.2.
Niektóre witryny wyłączyły sekcję subjectAltName z obsługi adresów IP. W razie potrzeby usuń lub zakomentuj linię IP.

Poniżej znajduje się działający przykład unity-cert.cnf , który należy edytować zgodnie z wymaganiami.

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

Zapisz plik unity-cert.cnf. 

3. Utwórz żądanie podpisania certyfikatu CSR (.csr) i klucz prywatny (pk), który nie jest chroniony hasłem. Unity akceptuje tylko klucz prywatny, który nie jest chroniony hasłem.

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   Wyświetl i potwierdź, że szczegóły distinguished_name CSR i subjectAltName spełniają wymagania aparatu Unity.

   openssl req -verify -noout -text -in unity-cert.csr

4. Wyślij plik unity-cert.csr do serwera podpisywania certyfikatu CA do podpisania.
    Do przesłania pliku unity-cert.csr użyj scp lub WinSCP (za pomocą protokołu scp).
    Zespół podpisze CSR przy użyciu certyfikatu urzędu certyfikacji i utworzy certyfikat podpisany przez urząd certyfikacji dla aparatu Unity.
     Jeśli zwrócony certyfikat zostanie dostarczony jako (.cer), może on mieć format "DER" i musi być w formacie "PEM" z rozszerzeniem (.crt).

5. Wyświetl nowo utworzony certyfikat podpisany przez instytucję certyfikującą.

   openssl x509 -noout -text -in unity-cert.crt

   Jeśli nie można wyświetlić nowo utworzonego certyfikatu, przekonwertuj certyfikat z formatu "DER" (rozszerzenie .cer) na format "PEM" (rozszerzenie .crt), używając następującego polecenia:

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6. Wyświetl nowo utworzony certyfikat podpisany przez instytucję certyfikującą.

   openssl x509 -noout -text -in unity-cert.crt

   Sprawdź, czy dane wyjściowe certyfikatu podpisanego przez instytucję certyfikującą są poprawne, a następnie przejdź do następnego kroku.

7. Zaimportuj certyfikat podpisany przez instytucję certyfikującą i klucz prywatny Unity w Unity.
   

         a. Certyfikat podpisany przez instytucję certyfikującą z (.CRT).
         b. Klucz prywatny, który nie jest chroniony hasłem za pomocą (.PK) rozszerzenie. 
 

   svc_custom_cert unity-cert

        Jeśli zostanie wyświetlony komunikat o błędzie, a Unity działa OE 5.5
"ERROR: Nie można określić siły klucza prywatnego"
Zażądaj od starszego pracownika pomocy technicznej o zastosowanie aktualizacji wewnętrznej do svc_custom_cert przed zaimportowaniem certyfikatu podpisanego przez instytucję certyfikującą.

   Usługi zarządzania Unity uruchomią się ponownie i załadują nowy certyfikat. Trwa to od 2 do 5 minut.
      
   

8. Po zaimportowaniu nowego certyfikatu otwórz przeglądarkę internetową i połącz się z Unity.
    W zależności od potrzeb wybierz żądany adres URL, aby potwierdzić, że certyfikat jest bezpieczny.

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
Uwaga: Dla mojego tymczasowego przykładu Unity:
FQDN to unityf12.3clab.hop.ma.dell.com
nazwa hosta to unityf12 (musiałem upewnić się, że wyszukiwanie domeny mojej stacji roboczej zawiera 3clab.hop.ma.dell.com).
Adres IP to 10.20.30.40
Nie określono adresu IPv6.

Jako przykład, aby przejść do mojego Unity, mogę użyć:

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

Użycie powyższej procedury nie wymaga tworzenia skryptów ani włączania powłoki usługi.

Dodatkowe kroki w celu zweryfikowania łańcucha uprawnień, że "moduł" klucza prywatnego (. PK), żądanie podpisania certyfikatu (. CSR) oraz certyfikat podpisany przez instytucję certyfikującą (. CRT) wszystkie pasują.

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum