PowerFlex: come utilizzare OpenSSL per generare una CSR e aggiungere il certificato SSL

Summary: Questo articolo illustra la procedura per creare manualmente una CSR utilizzando OpenSSL e aggiungere il certificato firmato a PowerFlex Manager. Questi passaggi possono essere utilizzati quando un cliente dispone di campi richiesti o non utilizzabili che l'interfaccia utente di PowerFlex Manager richiede o non possiede. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Prima di avviare questo processo, acquisire un'istantanea della VM PowerFlex Manager in vCenter. In questo modo viene fornita un'opzione di rollback, se necessario. Seguire la procedura riportata di seguito per generare la CSR e applicare il certificato firmato all'appliance PowerFlex Manager.
  1. SSH sull'appliance PowerFlex Manager e sudo su root: 
    sudo su -
  2. Passare alla directory root: 
    cd /root/
  3. Creare una directory denominata newcerts: 
    mkdir newcerts
  4. Passare alla nuova directory creata: 
    cd newcerts
  5. Creare un file CNF: 
    vi cert.cnf
    1. Questo file contiene i campi necessari per il certificato, come i campi dei nomi distinti e le voci dei nomi alternativi (SAN). Questo file può essere denominato in qualsiasi modo, ma l'estensione del file deve essere .cnf. Copia nel file tutte le informazioni riportate di seguito. Gli unici campi che devono essere modificati nel file sono quelli della sezione req_distinguished_name e quelli della sezione alt_names (modificare le sezioni in grassetto). Vedere l'esempio riportato di seguito:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Se un cliente non può avere un indirizzo e-mail nella propria CSR, è possibile rimuovere la riga emailAddress dal file CNF.
  2. La sezione alt_names di questo file riguarda le voci SAN (Subject Alternate Name).
  3. I campi DNS nella sezione alt_names sono nomi FQDN alternativi per l'host PowerFlex Manager. Non inserire gli indirizzi IP del server DNS in questi campi. Se non si dispone di nomi alternativi, non è necessario includere la sezione alt_names nel file.
  4. Una volta terminata la modifica del file, salvare le modifiche: 
    <ESC> :wq!
 
  1. Creare una nuova chiave server (nell'esempio in cui si utilizza il nome file cert.key, questa può essere denominata in qualsiasi modo, ma deve avere il. Estensione file chiave): 
    openssl genrsa -out cert.key 2048
  2. Generare una nuova CSR con la configurazione CNF: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. Il file della chiave è il file creato nel passaggio 6.
    2. Il file .csr può essere denominato in qualsiasi modo, ma deve avere l'estensione .csr. Nell'esempio stiamo usando cert.csr.
    3. Il file .cnf è il file creato nel passaggio 5.
  3. Verificare che la CSR sia stata generata correttamente: 
    openssl req -text -in cert.csr -noout
  4. È necessario copiare il file CSR dalla VM di PowerFlex Manager da inviare all'autorità di certificazione (CA) da firmare. Poiché i file sono stati creati come root, se si utilizza WinSCP è necessario spostare il file e apportare alcune modifiche alle autorizzazioni per copiarlo poiché l'utente delladmin non ha accesso alla directory /root. Per copiare il file sul computer locale, attenersi alla seguente procedura:
    1. Copiare il file CSR nella directory /home/delladmin:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Modificare le autorizzazioni in proprietà delladmin: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Utilizzare WinSCP per copiare il file dall'appliance PFxM utilizzando l'account delladmin per accedere.
 
  1. Quando si firma il certificato: Assicurarsi che il formato di esportazione selezionato sia codificato in Base-64 X.509 (. CER).
Impostazioni esportazione certificato
  1. Copiare il file CER nell'appliance PFxM utilizzando WinSCP o uno strumento simile nella directory /home/delladmin.
  2. Spostare il file CER nella directory newcerts e modificare le autorizzazioni:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Eseguire il backup dei certificati esistenti in caso di problemi: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Sostituire i file di certificato e chiave esistenti con quelli appena generati: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Riavviare l'appliance PFxM e verificare che il certificato venga applicato una volta che la VM PowerFlex è tornata online accedendo all'interfaccia utente e verificando che il certificato venga visualizzato correttamente nel browser.

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.