Dell Unity. Создание запроса на подпись защищенного сертификата CA (CSR) в Unity (исправляется пользователем)

Создайте в Unity запрос на подпись сертификата источника сертификатов CSR для Unity.

Unity 5.5

1. Подключитесь по SSH к Unity в качестве пользовательского сервиса.

2. Создание файла конфигурации запроса подписи сертификата источника сертификатов (CSR).

vi Unity-cert.cnf
Скопируйте текст из рабочего примера ниже, который находится между двумя #=== , и вставьте его в файл unity-cert.cnf .
Измените distinguished_name данные «dn» в соответствии с потребностями Unity для C, ST, L, OU, CN и emailAddress.
Отредактируйте сведения о alt_names subjectAltName в соответствии с требованиями Unity к полному доменному имени (FQDN), имени хоста и IP-адресу.

Ниже приведен список определений для сведений о различающемся имени (dn):
C = 2 буквы Код
страны ST = Штат/Регион L
= Местоположение/Город
O = Организация
OU = Организационная единица
CN = Общее имя (Это полное доменное имя DNS Unity)))emailAddress
=Адрес электронной почты Группы или Лица, которое управляет Unity и/или ее Сертификатами.

subjectAltName — это список FQDN, имени хоста и IP-адреса, которые можно использовать для перехода к Unity.
Если имеется только одна запись DNS, можно использовать сведения DNS=DNS и удалить или закомментировать записи DNS.1 и DNS.2.
Некоторые сайты отключили поддержку IP-адресов для раздела subjectAltName. При необходимости удалите или закомментируйте IP-строку.

Ниже приведен рабочий пример файла unity-cert.cnf , который необходимо отредактировать в соответствии с вашими требованиями.

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

Сохраните файл unity-cert.cnf. 

3. Создайте запрос подписи сертификата CSR (.csr) и закрытый ключ (.pk), не защищенный паролем. Unity принимает только закрытый ключ, не защищенный паролем.

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   Просмотрите и подтвердите, что сведения о distinguished_name и subjectAltName CSR соответствуют требованиям Unity.

   openssl req -verify -noout -text -in unity-cert.csr

4. Отправьте файл unity-cert.csr на сервер подписи сертификата CA для подписания.
    Для передачи файла unity-cert.csr используйте либо scp, либо WinSCP (с использованием протокола scp).
    Группа подписывает запрос подписи сертификата с помощью сертификата источника сертификатов и создает сертификат, подписанный центром сертификации, для Unity.
     Если возвращенный сертификат поступает в виде (.cer), он может быть в формате «DER» и должен быть в формате «PEM» с расширением (.crt).

5. Просмотр созданного сертификата, подписанного CA.

   openssl x509 -noout -text -in unity-cert.crt

   Если вы не можете просмотреть только что созданный сертификат, преобразуйте его из формата «DER» (расширение .cer) в формат «PEM» (расширение .crt) с помощью следующей команды:

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6. Просмотр созданного сертификата, подписанного CA.

   openssl x509 -noout -text -in unity-cert.crt

   Убедитесь, что выходные данные сертификата, подписанного ИС, верны, и перейдите к следующему шагу.

7. Импортируйте сертификат, подписанный CA, и закрытый ключ Unity в Unity.
   

         a. Сертификат, подписанный CA с символом (.CRT).
         b. Закрытый ключ, который не является паролем, защищенным (.pk) расширение. 
 

   svc_custom_cert unity-cert

        Если вы получаете сообщение об ошибке, а Unity работает под управлением операционной среды версии 5.5
: «ERROR: Не удалось определить надежность закрытого ключа»
Перед импортом сертификата, подписанного ИС, попросите старшего специалиста службы технической поддержки применить внутреннее обновление к svc_custom_cert.

   Службы управления Unity перезапустятся и загрузят новый сертификат. Это занимает 2–5 минут.
      
   

8. После импорта нового сертификата откройте веб-браузер и подключитесь к Unity.
    В зависимости от ваших потребностей выберите нужный URL-адрес для подтверждения безопасности сертификата.

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
Примечание. Для моего временного примера Unity:
FQDN равно unityf12.3clab.hop.ma.dell.com
Имя хоста — unityf12 (мне нужно было убедиться, что поиск домена моей рабочей станции включает 3clab.hop.ma.dell.com).
IP-адрес — 10.20.30.40
Адрес IPv6 не указан.

В качестве примера для перехода к моему Unity я могу использовать:

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

Использование описанной выше процедуры не требует создания сценариев или включения оболочки службы.

Дополнительные шаги для проверки цепочки полномочий, что «модуль» закрытого ключа (. PK), запрос подписи сертификата (. CSR) и сертификат, подписанный ИС (. CRT) все совпадают.

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum