PowerFlex: como usar o OpenSSL para gerar uma CSR e adicionar o certificado SSL

Summary: Este artigo apresenta as etapas para criar manualmente uma CSR usando OpenSSL e adicionar o certificado assinado ao PowerFlex Manager. Essas etapas podem ser usadas quando um cliente tem campos que eles exigem ou não podem usar que a interface do usuário do PowerFlex Manager exige ou não tem. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Antes de iniciar esse processo, faça um snapshot de sua VM do PowerFlex Manager no vCenter. Isso fornece uma opção de reversão, se necessário. Siga as etapas abaixo para gerar a CSR e aplicar o certificado assinado ao equipamento PowerFlex Manager.
  1. SSH para o equipamento PowerFlex Manager e sudo para root: 
    sudo su -
  2. Mude para o diretório raiz: 
    cd /root/
  3. Crie um diretório chamado newcerts: 
    mkdir newcerts
  4. Mude para o novo diretório que você criou: 
    cd newcerts
  5. Crie um arquivo CNF: 
    vi cert.cnf
    1. Esse arquivo contém os campos necessários para o certificado, como campos de nomes distintos e entradas de nomes alternativos (SAN). Esse arquivo pode ser nomeado como qualquer coisa, mas a extensão de arquivo deve ser .cnf. Copie todas as informações abaixo para o arquivo. Os únicos campos que devem ser editados no arquivo são os campos na seção req_distinguished_name e os campos na seção alt_names (editar seções em negrito). Veja o exemplo abaixo:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Se um cliente não puder ter um endereço de e-mail na CSR, você poderá remover a linha emailAddress do arquivo CNF.
  2. A seção alt_names deste arquivo é para as entradas SAN (Subject Alternate Name, nome alternativo do assunto).
  3. Os campos DNS na seção alt_names são nomes FQDN alternativos para o host do PowerFlex Manager. Não coloque endereços IP do servidor DNS nesses campos. Se você não tiver nomes alternativos, não será necessário incluir a seção alt_names no arquivo.
  4. Quando terminar de editar o arquivo, salve suas alterações: 
    <ESC> :wq!
 
  1. Crie uma nova chave de servidor (no exemplo em que estamos usando o nome do arquivo cert.key, ela pode ser nomeada como qualquer coisa, mas deve ter. Extensão de arquivo chave): 
    openssl genrsa -out cert.key 2048
  2. Gere uma nova CSR com a configuração de CNF: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. O arquivo de chave é o arquivo criado na Etapa 6.
    2. O arquivo .csr pode ser nomeado como qualquer coisa, mas deve ter a extensão de arquivo .csr. No exemplo, estamos usando cert.csr.
    3. O arquivo .cnf é o arquivo criado na etapa 5.
  3. Confirme se o CSR foi gerado corretamente: 
    openssl req -text -in cert.csr -noout
  4. Você deve copiar seu arquivo CSR da VM do PowerFlex Manager para enviar à autoridade de certificação (CA) para assinatura. Como os arquivos foram criados como root, se você estiver usando o WinSCP, deverá mover o arquivo e fazer algumas alterações de permissões para copiá-lo, pois o usuário delladmin não tem acesso ao diretório /root. Use estas etapas para copiar o arquivo para sua máquina local:
    1. Copie o arquivo CSR para o diretório /home/delladmin:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Altere as permissões para propriedade delladmin: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Use o WinSCP para copiar o arquivo do equipamento PFxM usando a conta delladmin para fazer login.
 
  1. Ao assinar o certificado, certifique-se de que o formato de exportação selecionado seja X.509 codificado em Base-64 (. CER).
Configurações de exportação de certificado
  1. Copie seu arquivo CER no equipamento PFxM usando WinSCP ou ferramenta semelhante no diretório /home/delladmin.
  2. Mova o arquivo CER para o diretório newcerts e altere as permissões:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Faça backup dos certificados existentes em caso de problemas: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Substitua os arquivos de chave e certificado existentes pelos recém-gerados: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Reinicialize o equipamento PFxM e verifique se o certificado foi aplicado assim que a VM do PowerFlex estiver on-line novamente. Para isso, faça log-in na interface do usuário e verifique se o certificado é exibido corretamente no navegador.

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.