PowerFlex Utilisation d’OpenSSL pour générer une CSR et ajouter le certificat SSL

Summary: Cet article explique comment créer manuellement une CSR à l’aide d’OpenSSL et ajouter le certificat signé à PowerFlex Manager. Ces étapes peuvent être utilisées lorsqu’un client a des champs qu’il doit ou ne peut pas utiliser et que l’interface utilisateur de PowerFlex Manager exige ou ne possède pas. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Avant de démarrer ce processus, prenez un snapshot de votre machine virtuelle PowerFlex Manager dans vCenter. Cela fournit une option de restauration si nécessaire. Suivez les étapes ci-dessous pour générer la CSR et appliquer le certificat signé à l’appliance PowerFlex Manager.
  1. Établissez une connexion SSH avec l’appliance PowerFlex Manager et accédez à sudo jusqu’à root : 
    sudo su -
  2. Accédez au répertoire racine : 
    cd /root/
  3. Créez un répertoire appelé newcerts : 
    mkdir newcerts
  4. Accédez au nouveau répertoire que vous avez créé : 
    cd newcerts
  5. Créez un fichier CNF : 
    vi cert.cnf
    1. Ce fichier contient les champs nécessaires pour le certificat, tels que les champs de nom unique et les entrées de noms alternatifs (SAN). Ce fichier peut être nommé comme n’importe quoi, mais l’extension de fichier doit être .cnf. Copiez toutes les informations ci-dessous dans le fichier. Les seuls champs qui doivent être modifiés dans le fichier sont les champs de la section req_distinguished_name et les champs de la section alt_names (modifier les sections en gras). Reportez-vous à l’exemple ci-dessous :
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Si un client ne peut pas avoir d’adresse e-mail dans sa CSR, vous pouvez supprimer la ligne emailAddress du fichier CNF.
  2. La section alt_names de ce fichier concerne les entrées SAN (Subject Alternate Name).
  3. Les champs DNS de la section alt_names sont des noms de domaine complets alternatifs pour votre hôte PowerFlex Manager. Ne placez pas les adresses IP du serveur DNS dans ces champs. Si vous n’avez pas d’autres noms, vous n’avez pas besoin d’inclure la section alt_names dans le fichier.
  4. Une fois que vous avez terminé de modifier le fichier, enregistrez vos modifications : 
    <ESC> :wq!
 
  1. Créer une nouvelle clé de serveur (dans l’exemple où nous utilisons le nom de fichier cert.key, cela peut être nommé n’importe quoi, mais doit avoir le. Extension de fichier clé) : 
    openssl genrsa -out cert.key 2048
  2. Générez une nouvelle CSR avec la configuration CNF : 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. Le fichier de clé est le fichier créé à l’étape 6.
    2. Le fichier .csr peut être nommé comme n’importe quoi, mais doit avoir l’extension de fichier .csr. Dans l’exemple, nous utilisons cert.csr.
    3. Le fichier .cnf est le fichier créé à l’étape 5.
  3. Vérifiez que votre CSR a été généré correctement : 
    openssl req -text -in cert.csr -noout
  4. Vous devez copier votre fichier CSR à partir de la machine virtuelle PowerFlex Manager pour l’envoyer à votre autorité de certification (AC) pour signature. Étant donné que les fichiers ont été créés en tant qu’utilisateur root, si vous utilisez WinSCP, vous devez déplacer le fichier et modifier les autorisations pour le copier, car l’utilisateur delladmin n’a pas accès au répertoire /root. Suivez ces étapes pour copier le fichier sur votre machine locale :
    1. Copiez le fichier CSR dans le répertoire /home/delladmin :
cp /root/newcerts/cert.csr /home/delladmin/
  1. Modifiez les autorisations de propriété delladmin : 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Utilisez WinSCP pour copier le fichier hors de l’appliance PFxM à l’aide du compte delladmin pour vous connecter.
 
  1. Lorsque vous signez votre certificat, assurez-vous que le format d’exportation sélectionné est en base 64 codé X.509 (. CER).
Paramètres d’exportation du certificat
  1. Copiez votre fichier CER sur l’appliance PFxM à l’aide de WinSCP ou d’un outil similaire dans le répertoire /home/delladmin.
  2. Déplacez le fichier CER vers le répertoire newcerts et modifiez les autorisations :
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Sauvegardez les certificats existants en cas de problème : 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Remplacez les fichiers de certificat et de clé existants par les fichiers qui viennent d’être générés : 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Redémarrez l’appliance PFxM et vérifiez que le certificat est appliqué une fois que la machine virtuelle PowerFlex est de nouveau en ligne en vous connectant à l’interface utilisateur et en vérifiant que le certificat s’affiche correctement dans le navigateur.

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.