Dell Unity: Як створити безпечний запит на підписання сертифіката ЦС (CSR) на Unity (можна виправити користувачем)

На Unity створіть запит на підписання сертифіката CSR ЦС Unity.

Єдність 5.5

1. SSH в Unity як сервіс для користувачів.

2. Створіть файл конфігурації запиту на підписання сертифіката ЦС (CSR).

vi unity-cert.cnf
Скопіюйте текст з наведеного нижче робочого прикладу, який знаходиться між двома #===, і вставте текст у файл unity-cert.cnf .
Відредагуйте деталі distinguished_name "dn" відповідно до потреб C, ST, L, OU, CN та адреси електронної пошти вашого Unity.
Відредагуйте деталі "alt_names" subjectAltName, щоб вони відповідали потребам вашого повного кваліфікованого доменного імені (FQDN), імені хоста та IP-адреси вашого Unity.

Ось список визначень для деталей розрізненого імені (dn):
C=2-літерний код
країни ST=Штат/Регіон
L=Місцезнаходження/Місто
O=Організація
OU=Організаційний підрозділ
CN=Загальне ім'я (Це повністю кваліфіковане DNS-доменне ім'я Unity (FQDN)))
emailAddress=Адреса електронної пошти Групи або Особи, яка керує Unity та/або її сертифікатами.

subjectAltName — це список FQDN, імені хоста та IP-адреси, які можна використовувати для перегляду веб-сторінок Unity.
Якщо є лише один запис DNS, ви можете використати деталі DNS=DNS і видалити або закоментувати записи DNS.1 і DNS.2.
Деякі сайти відключили розділ subjectAltName з підтримки IP-адрес. Видаліть або закоментуйте IP-рядок, якщо це потрібно.

Нижче наведено робочий приклад unity-cert.cnf , який ви повинні відредагувати відповідно до ваших вимог.

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

Збережіть файл unity-cert.cnf. 

3. Створіть запит на підписання сертифіката CSR (.csr) і приватний ключ (.pk), які не захищені PassPhrase. Unity приймає лише приватний ключ, який не захищений PassPhrase.

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   Перегляньте та підтвердьте, що distinguished_name CSR та дані subjectAltName відповідають вимогам Unity.

   openssl req -verify -noout -text -in unity-cert.csr

4. Надішліть файл unity-cert.csr на сервер підпису сертифікатів ЦС для підписання.
    Використовуйте scp або WinSCP (використовуючи протокол scp) для передачі файлу unity-cert.csr.
    Команда підписує КСВ із Сертифікатом ЦС і створює Сертифікат ЦС із підписом для Unity.
     Якщо повернутий Сертифікат надходить у форматі (.cer), він може бути у форматі "DER" і має бути у форматі "PEM" з розширенням (.crt).

5. Перегляньте новостворений сертифікат із підписом ЦС.

   openssl x509 -noout -text -in unity-cert.crt

   Якщо ви не можете переглянути щойно створений сертифікат, перетворіть сертифікат із формату «DER» (.cer розширення) у формат «PEM» (розширення .crt) за допомогою такої команди:

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6. Перегляньте новостворений сертифікат із підписом ЦС.

   openssl x509 -noout -text -in unity-cert.crt

   Переконайтеся, що вихідні дані сертифіката, підписаного CA, правильні, а потім перейдіть до наступного кроку.

7. Імпортуйте сертифікат із підписом ЦС та приватний ключ Unity на Unity.
   

         a. Сертифікат CA з підписом (.ЕПТ) розширення.
         b. Закритий ключ, який не є паролем, захищений символом (.пк) розширення. 
 

   svc_custom_cert unity-cert

        Якщо ви отримуєте повідомлення про помилку, а Unity працює під управлінням OE 5.5
"ПОМИЛКА: Не вдалося визначити надійність закритого ключа"
Попросіть старшого спеціаліста технічної підтримки застосувати внутрішнє оновлення до svc_custom_cert перед імпортом сертифіката, підписаного CA.

   Сервіси Unity Management перезапустяться та завантажать новий Сертифікат. Це займає 2-5 хвилин.
      
   

8. Коли новий сертифікат буде імпортовано, відкрийте веб-браузер і підключіться до Unity.
    Залежно від ваших потреб, виберіть потрібну URL-адресу, щоб підтвердити, що сертифікат надійно захищений.

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
Примітка: Для мого тимчасового прикладу Unity:
FQDN - це unityf12.3clab.hop.ma.dell.com
ім'я хоста - unityf12 (мені довелося переконатися, що пошук домену моєї робочої станції включає 3clab.hop.ma.dell.com).
IP-адреса 10.20.30.40
Адреса IPv6 не вказана.

Як приклад, щоб перейти до моєї Unity, я можу використовувати:

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

Використання наведеної вище процедури не передбачає створення сценаріїв або увімкнення службової оболонки.

Додаткові кроки для перевірки ланцюжка повноважень, які є "модулем" Private ключа (. PK), запит на підписання сертифіката (. CSR) та сертифікат, підписаний ЦС (. CRT) всі співпадають.

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum