Dell Unity：如何在 Unity 上建立安全的 CA 憑證簽署要求 （CSR） （使用者可修正）

在 Unity 上建立 Unity CSR CA 憑證簽署要求。

Unity 5.5

1.SSH 進入 Unity 作為使用者服務。

2.建立 CA 憑證簽署要求 （CSR） 組態檔案。

VI Unity-cert.cnf
複製以下工作範例中的文字，位於兩個 #=== 之間，然後將文字貼至 unity-cert.cnf 檔案中。
編輯distinguished_name「dn」詳細資料，以符合 Unity 的 C、ST、L、OU、CN 和電子郵件地址需求。
編輯 subjectAltName「alt_names」詳細資料，以符合 Unity 的完整網域名稱 （FQDN）、主機名稱和 IP 位址需求。

下面是可分辨名稱 （dn） 詳細資訊的定義清單：
C=2 字母國家/地區代碼
ST=州/地區
L=位置/城市
O=組織
組織 OU=組織單位
CN=通用名稱（這是 Unity 的完整 DNS 功能變數名稱 （FQDN））
電子郵件位址=管理 Unity 和/或其證書的組或人員的電子郵件位址。

主體AltName 是 FQDN、主機名稱和 IP 位址的清單，可用來瀏覽至 Unity。
如果只有一個 DNS 項目，您可以使用 DNS=DNS 詳細資料，移除或註解掉 DNS.1 和 DNS.2 項目。
有些網站已停用 subjectAltName 區段以支援 IP 位址。視需要移除或註解掉 IP 行。

下面是 unity-cert.cnf 的工作範例，您必須根據需求進行編輯。

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

儲存 unity-cert.cnf 檔案。

3.建立不受密碼片語保護的 CSR 憑證簽章要求 （.csr） 和私密金鑰 （.pk）。Unity 僅接受未受密碼片語保護的私密金鑰。

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   檢視並確認 CSR 的distinguished_name和 subjectAltName 詳細資料符合 Unity 需求。

   openssl req -verify -noout -text -in unity-cert.csr

4.將 unity-cert.csr 檔案傳送至 CA 憑證簽署伺服器以進行簽署。
    使用 scp 或 WinSCP （使用 scp 通訊協定） 傳輸 unity-cert.csr 檔案。
    團隊使用 CA 的憑證簽署 CSR，並建立 Unity 的 CA 簽署憑證。
     如果傳回的憑證是以 （.cer） 形式送達，則可能是「DER」格式，且必須是「PEM」格式，並有一個副檔名 （.crt）。

5.檢視新建立的 CA 簽署憑證。

   openssl x509 -noout -text -in unity-cert.crt

   如果您無法檢視新建立的憑證，請使用下列命令，將憑證從「DER」格式 （.cer副檔名） 轉換為「PEM」格式 （.crt 副檔名）：

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6.檢視新建立的 CA 簽署憑證。

   openssl x509 -noout -text -in unity-cert.crt

   確認 CA 簽署憑證的輸出正確無誤，然後繼續執行下一個步驟。

7.在 Unity 上匯入 CA 簽署的憑證和 Unity 的私人金鑰。
   

         a. CA 簽署的憑證，其中包含 （.crt） 擴展。
         b. 未受密碼片語保護的私密金鑰 （.PK） 擴展。 
 

   svc_custom_cert unity-cert

        如果您收到錯誤訊息，且 Unity 正在執行 OE 5.5
「錯誤：無法判定私密金鑰強度」
要求資深技術支援人員將內部更新套用至svc_custom_cert，然後再匯入 CA 簽署憑證。

   Unity 的管理服務將重新啟動並載入新憑證。這需要 2 -5 分鐘才能完成。
      
   

8.匯入新憑證後，開啟您的網頁瀏覽並連線至 Unity。
    根據您的需求，選擇所需的 URL 以確認證書是安全的。

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
注意：以我的臨時 Unity 為例：
FQDN unityf12.3clab.hop.ma.dell.com
主機名稱是 unityf12（我必須確保我的工作站的域搜索包含 3clab.hop.ma.dell.com）。
IP 位址為 10.20.30.40
未指定 IPv6 位址。

舉個例子，要流覽到我的 Unity，我可以使用：

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

使用上述過程不涉及編寫腳本或啟用服務外殼。

驗證 授權鏈的額外步驟，即私鑰的「模數」（.PK）、憑證簽署要求 （.CSR） 和 CA 簽署的憑證 （.CRT） 全部匹配。

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum