PowerFlex:OpenSSLを使用してCSRを生成し、SSL証明書を追加する方法

Summary: この記事では、OpenSSLを使用してCSRを手動で作成し、署名済み証明書をPowerFlex Managerに追加する手順について説明します。これらの手順は、PowerFlex Manager UIで必要または存在しない、お客様が必要とするフィールドまたは使用できないフィールドがある場合に使用できます。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

このプロセスを開始する前に、vCenterでPowerFlex Manager VMのスナップショットを作成します。これにより、必要に応じてロールバック オプションが提供されます。次の手順に従ってCSRを生成し、署名済み証明書をPowerFlex Managerアプライアンスに適用します。
  1. PowerFlex ManagerアプライアンスにSSHで接続し、sudoでrootに接続します。 
    sudo su -
  2. ルート ディレクトリーに移動します。 
    cd /root/
  3. newcertsという名前のディレクトリーを作成します。 
    mkdir newcerts
  4. 作成した新しいディレクトリーに移動します。 
    cd newcerts
  5. CNFファイルを作成します。 
    vi cert.cnf
    1. このファイルには、識別名フィールドや代替名(SAN)エントリーなど、証明書に必要なフィールドが含まれています。このファイルには任意の名前を付けることができますが、ファイル拡張子は.cnfにする必要があります。以下のすべての情報をファイルにコピーします。ファイル内で編集する必要があるのは、req_distinguished_nameセクションのフィールドとalt_namesセクションのフィールドだけです(太字のセクションを編集します)。次の例を参照してください。
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. お客様のCSRにEメール アドレスがない場合は、CNFファイルからemailAddress行を削除できます。
  2. このファイルのalt_namesセクションは、SAN(サブジェクト代替名)エントリー用です。
  3. alt_namesセクションのDNSフィールドは、PowerFlex Managerホストの代替FQDN名です。これらのフィールドにはDNSサーバーのIPアドレスを入力しないでください。代替名がない場合は、ファイルにalt_namesセクションを含める必要はありません。
  4. ファイルの編集が完了したら、変更を保存します。 
    <ESC> :wq!
 
  1. 新しいサーバーキーを作成します(ファイル名cert.keyを使用している例では、これには任意の名前を付けることができますが、が必要です。キーファイル拡張子): 
    openssl genrsa -out cert.key 2048
  2. CNF構成を使用して新しいCSRを生成します。 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. キー ファイルは、手順6で作成したファイルです。
    2. .csrファイルには任意の名前を付けることができますが、ファイル拡張子は.csrにする必要があります。この例では、cert.csrを使用しています。
    3. .cnf ファイルは、手順 5 で作成したファイルです。
  3. CSRが正しく生成されたことを確認します。 
    openssl req -text -in cert.csr -noout
  4. CSRファイルをPowerFlex Manager VMからコピーして認証局(CA)に送信し、署名を受ける必要があります。ファイルはrootとして作成されているため、WinSCPを使用している場合は、ファイルを移動し、いくつかの権限を変更してコピーする必要があります。delladminユーザーには/rootディレクトリーへのアクセス権がないためです。次の手順を使用して、ファイルをローカル マシンにコピーします。
    1. CSRファイルを/home/delladminディレクトリーにコピーします。
cp /root/newcerts/cert.csr /home/delladmin/
  1. 権限をdelladminの所有権に変更します。 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. WinSCPで、delladminアカウントを使用してログインし、PFxMアプライアンスからファイルをコピーします。
 
  1. 証明書に署名する場合 選択したエクスポート形式が Base-64 エンコードの X.509 (.CER)です。
証明書エクスポート設定
  1. WinSCPまたは同様のツールを使用して、CERファイルをPFxMアプライアンスの/home/delladminディレクトリーにコピーします。
  2. CERファイルをnewcertsディレクトリに移動し、権限を変更します。
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. 問題が発生した場合に備えて、既存の証明書をバックアップします。 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. 既存の証明書ファイルとキー ファイルを新しく生成されたファイルに置き換えます。 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. PFxMアプライアンスを再起動し、UIにログインして証明書がブラウザーに正しく表示されていることを確認して、PowerFlex VMがオンラインに戻ったら証明書が適用されることを確認します。

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.