PowerFlex: как использовать OpenSSL для создания CSR и добавления SSL-сертификата

Summary: В этой статье описаны шаги по созданию CSR вручную с помощью OpenSSL и добавлению подписанного сертификата в PowerFlex Manager. Эти действия можно использовать, если у заказчика есть поля, которые требуются или не могут использоваться в пользовательском интерфейсе PowerFlex Manager. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Перед началом этого процесса создайте моментальный снимок виртуальной машины PowerFlex Manager в vCenter. При необходимости можно выполнить откат. Выполните следующие действия, чтобы создать CSR и применить подписанный сертификат к устройству PowerFlex Manager.
  1. Подключитесь через SSH к устройству PowerFlex Manager и переключитесь с помощью sudo на пользователя root: 
    sudo su -
  2. Перейдите в корневой каталог: 
    cd /root/
  3. Создайте каталог с именем newcerts: 
    mkdir newcerts
  4. Перейдите в новый каталог, который вы создали: 
    cd newcerts
  5. Создайте CNF-файл: 
    vi cert.cnf
    1. Этот файл содержит поля, необходимые для сертификата, такие как поля различающихся имен и записи альтернативных имен (SAN). Этому файлу можно присвоить любое имя, но файл должен иметь расширение .cnf. Скопируйте в файл всю приведенную ниже информацию. В файле необходимо редактировать только поля в разделе req_distinguished_name и поля в разделе alt_names (редактировать разделы, выделенные полужирным шрифтом). См. пример ниже:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Если заказчик не может указать адрес электронной почты в CSR, можно удалить строку emailAddress из CNF-файла.
  2. Раздел alt_names этого файла предназначен для записей SAN (альтернативное имя субъекта).
  3. Поля DNS в разделе alt_names представляют собой альтернативные имена FQDN для хоста PowerFlex Manager. Не помещайте в эти поля IP-адреса DNS-серверов. Если у вас нет альтернативных имен, вам не нужно включать раздел alt_names в файл.
  4. После завершения редактирования файла сохраните изменения: 
    <ESC> :wq!
 
  1. Создайте новый ключ сервера (в примере, который мы используем cert.key имени файла, он может называться как угодно, но должен иметь имя. Расширение файла ключа): 
    openssl genrsa -out cert.key 2048
  2. Создайте новый CSR с конфигурацией CNF: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. ВКлючевой файл — это файл, созданный на шаге 6.
    2. Файл .csr может называться как угодно, но он обязательно должен иметь .csr расширение. В данном примере мы используем cert.csr.
    3. Файл .cnf — это файл, созданный на шаге 5.
  3. Убедитесь, что ваш CSR был создан правильно: 
    openssl req -text -in cert.csr -noout
  4. Необходимо скопировать файл CSR с виртуальной машины PowerFlex Manager для отправки на подпись в источник сертификатов (CA). Поскольку файлы были созданы от имени пользователя root, при использовании WinSCP необходимо переместить файл и изменить некоторые разрешения, чтобы скопировать его, так как у пользователя delladmin нет доступа к каталогу /root. Чтобы скопировать файл на локальный компьютер, выполните следующие действия:
    1. Скопируйте файл CSR в каталог /home/delladmin:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Измените разрешения на delladmin ownership: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Используйте WinSCP, чтобы скопировать файл с устройства PFxM, используя учетную запись delladmin для входа.
 
  1. При подписании сертификата убедитесь, что выбран формат экспорта X.509 в кодировке Base-64 (. CER).
Параметры экспорта сертификата
  1. Скопируйте файл CER на устройство PFxM с помощью WinSCP или аналогичного инструмента в каталог /home/delladmin.
  2. Переместите файл CER в каталог newcerts и измените разрешения:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Создайте резервную копию существующих сертификатов на случай возникновения проблем: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Замените существующие файлы сертификатов и ключей новыми созданными: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Перезагрузите устройство PFxM и убедитесь, что сертификат применен после возврата виртуальной машины PowerFlex в режим онлайн. Войдите в пользовательский интерфейс и убедитесь, что сертификат правильно отображается в браузере.

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.