PowerFlex: OpenSSL gebruiken om een CSR te genereren en het SSL-certificaat toe te voegen

Summary: Dit artikel bevat de stappen om handmatig een CSR te maken met OpenSSL en het ondertekende certificaat toe te voegen aan PowerFlex Manager. Deze stappen kunnen worden gebruikt wanneer een klant velden heeft die hij wel of niet kan gebruiken en die de PowerFlex Manager UI wel of niet heeft. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Voordat u dit proces start, maakt u een snapshot van uw PowerFlex Manager VM in vCenter. Dit biedt indien nodig een rollback-optie. Volg de onderstaande stappen om de CSR te genereren en het ondertekende certificaat toe te passen op de PowerFlex Manager appliance.
  1. SSH naar de PowerFlex Manager appliance en sudo naar root: 
    sudo su -
  2. Ga naar de hoofdmap: 
    cd /root/
  3. Maak een directory met de naam newcerts: 
    mkdir newcerts
  4. Ga naar de nieuwe map die u hebt gemaakt: 
    cd newcerts
  5. Maak een CNF-bestand: 
    vi cert.cnf
    1. Dit bestand bevat de velden die nodig zijn voor het certificaat, zoals Distinguished Name-velden en SAN-vermeldingen (Alt Names). Dit bestand kan van alles en nog wat worden genoemd, maar de bestandsextensie moet .cnf zijn. Kopieer alle onderstaande informatie naar het bestand. De enige velden die in het bestand moeten worden bewerkt, zijn de velden in de sectie req_distinguished_name en de velden in de sectie alt_names (vetgedrukte secties bewerken). Zie het onderstaande voorbeeld:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Als een klant geen e-mailadres in zijn CSR kan hebben, kunt u de emailAddress-regel uit het CNF-bestand verwijderen.
  2. Het alt_names gedeelte van dit bestand is voor de SAN-vermeldingen (Subject Alternate Name).
  3. De DNS-velden in het gedeelte alt_names zijn alternatieve FQDN-namen voor uw PowerFlex Manager-host. Plaats geen IP-adressen van de DNS-server in deze velden. Als u geen alternatieve namen hebt, hoeft u de sectie alt_names niet in het bestand op te nemen.
  4. Als u klaar bent met het bewerken van het bestand, slaat u uw wijzigingen op: 
    <ESC> :wq!
 
  1. Maak een nieuwe serversleutel (in het voorbeeld dat we de bestandsnaam cert.key gebruiken, dit kan van alles worden genoemd, maar moet de. Key file extension): 
    openssl genrsa -out cert.key 2048
  2. Genereer een nieuwe CSR met de CNF-configuratie: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. DeHet sleutelbestand is het bestand dat in stap 6 is gemaakt.
    2. Het .csr bestand kan als van alles worden genoemd, maar moet de bestandsextensie .csr hebben. In het voorbeeld gebruiken we cert.csr.
    3. Het .cnf-bestand is het bestand dat in stap 5 is gemaakt.
  3. Controleer of uw CSR correct is gegenereerd: 
    openssl req -text -in cert.csr -noout
  4. U moet uw CSR-bestand kopiëren van de PowerFlex Manager VM om het naar uw certificeringsinstantie (CA) te verzenden voor ondertekening. Aangezien de bestanden als root zijn gemaakt, moet u, als u WinSCP gebruikt, het bestand verplaatsen en enkele machtigingswijzigingen aanbrengen om het te kopiëren, aangezien de delladmin-gebruiker geen toegang heeft tot de map /root. Voer deze stappen uit om het bestand naar uw lokale computer te kopiëren:
    1. Kopieer het CSR-bestand naar de /home/delladmin directory:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Wijzig de machtigingen voor delladmin-eigendom: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Gebruik WinSCP om het bestand van het PFxM apparaat af te kopiëren met behulp van het delladmin-account om in te loggen.
 
  1. Wanneer u uw certificaat ondertekent, moet u ervoor zorgen dat het geselecteerde exportformaat Base-64-gecodeerd is X.509 (. CER).
Instellingen cert export
  1. Kopieer uw CER-bestand naar het PFxM apparaat met WinSCP of een vergelijkbare tool naar de /home/delladmin directory.
  2. Verplaats het CER-bestand naar de directory newcerts en wijzig de machtigingen:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Maak een back-up van bestaande certificaten in geval van problemen: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Vervang bestaande cert- en sleutelbestanden door de nieuw gegenereerde bestanden: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Start het PFxM-apparaat opnieuw op en controleer of het certificaat wordt toegepast zodra de PowerFlex VM weer online is door u aan te melden bij de gebruikersinterface en te controleren of het certificaat correct wordt weergegeven in de browser.

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.