Dell Unity: Como criar uma CSR (Certificate Signing Request, solicitação de assinatura de certificado de CA) segura no Unity (corrigível pelo usuário)

No Unity, crie uma solicitação de assinatura de certificado de CA CSR do Unity.

Unidade 5.5

1. SSH no Unity como o serviço do usuário.

2. Crie um arquivo de configuração de solicitação de assinatura de certificado (CSR) da CA.

VI Unity-cert.cnf
Copie o texto do exemplo de trabalho abaixo que está entre os dois #=== e cole o texto no arquivo unity-cert.cnf .
Edite os detalhes distinguished_name "dn" para corresponder às necessidades C, ST, L, OU, CN e emailAddress do Unity.
Edite os detalhes de "alt_names" de subjectAltName para corresponder às necessidades de FQDN (Full Qualified Domain Name), nome de host e endereço IP do Unity.

Esta é a lista de definições para detalhes de DN (Distinguished Name):
C=2 Letter Country Code
ST=State/Region
L=Location/City
O=Organization
OU=Organization Unit
CN=Common Name (Este é o nome de domínio DNS totalmente qualificado (FQDN) do Unity)
emailAddress=O endereço de e-mail de um Grupo ou de uma Pessoa que gerencia o Unity e/ou seus certificados.

O subjectAltName é uma lista de FQDN, nome de host e endereço IP que pode ser usada para navegar até o Unity.
Se houver apenas uma entrada DNS, você poderá usar o detalhe DNS=DNS e remover ou comentar as entradas DNS.1 e DNS.2.
Alguns sites desativaram a seção subjectAltName do suporte a endereços IP. Remova ou comente a linha IP conforme necessário.

Veja abaixo um exemplo funcional de unity-cert.cnf que você deve editar de acordo com seus requisitos.

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

Salve o arquivo unity-cert.cnf. 

3. Crie uma solicitação de assinatura de certificado (.csr) CSR e uma chave privada (.pk) que não está protegida por senha. O Unity só aceita uma chave privada que não esteja protegida por senha.

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   Visualize e confirme se os detalhes de distinguished_name e subjectAltName do CSR atendem aos requisitos do Unity.

   openssl req -verify -noout -text -in unity-cert.csr

4. Envie o arquivo unity-cert.csr para o servidor de assinatura de certificado CA a ser assinado.
    Use scp ou WinSCP (usando protocolo scp) para transferir o arquivo unity-cert.csr.
    A equipe assina a CSR com o certificado da CA e cria um certificado assinado pela CA para o Unity.
     Se o certificado devolvido chegar como um (.cer), ele pode estar no formato "DER" e deve estar no formato "PEM" com uma extensão (.crt).

5. Visualize o certificado assinado pela CA recém-criado.

   openssl x509 -noout -text -in unity-cert.crt

   Se você não conseguir visualizar o certificado recém-criado, converta-o do formato "DER" (extensão .cer) para o formato "PEM" (extensão .crt), usando o seguinte comando:

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6. Visualize o certificado assinado pela CA recém-criado.

   openssl x509 -noout -text -in unity-cert.crt

   Verifique se o resultado do certificado assinado pela CA está correto e prossiga para a próxima etapa.

7. Importe o certificado assinado pela CA e a chave privada do Unity no Unity.
   

         a. Certificado assinado pela CA com um (.CRT) extensão.
         b. Chave privada que não é protegida por senha com um (.pk) extensão. 
 

   svc_custom_cert unity-cert

        Se você receber uma mensagem de erro e o Unity estiver executando o OE 5.5
, "ERROR: Não foi possível determinar a força da chave privada"
Solicite a uma pessoa do suporte técnico sênior que aplique a atualização interna ao svc_custom_cert antes de importar um certificado assinado pela CA.

   Os serviços de gerenciamento do Unity serão reiniciados e carregarão o novo certificado. Isso leva de 2 a 5 minutos para ser concluído.
      
   

8. Depois que o novo certificado for importado, abra sua navegação na Web e conecte-se ao Unity.
    Dependendo de suas necessidades, escolha a URL desejada para confirmar se o certificado é seguro.

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
Nota: Para o exemplo temporário do meu Unity:
FQDN é unityf12.3clab.hop.ma.dell.com
nome do host é unityf12 (eu tive que garantir que a pesquisa de domínio da minha estação de trabalho incluía 3clab.hop.ma.dell.com).
O endereço IP é 10.20.30.40
Não há nenhum endereço IPv6 especificado.

Por exemplo, para navegar até o meu Unity, posso usar:

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

O uso do procedimento acima não envolve script ou ativação do shell de serviço.

Etapas extras para validar a cadeia de autoridade que o "módulo" da chave privada (. PK), solicitação de assinatura de certificado (. CSR) e o certificado assinado pela CA (. CRT) todos correspondem.

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum