PowerFlex: Sådan bruger du OpenSSL til at generere en CSR og tilføje SSL-certifikatet

1. SSH til PowerFlex Manager-enheden og sudo til rod:

   sudo su -

2. Skift til rodmappen:

   cd /root/

3. Opret en mappe kaldet newcerts:

   mkdir newcerts

4. Skift til den nye mappe, du oprettede:

   cd newcerts

5. Opret en CNF-fil:

   vi cert.cnf

   1. Denne fil indeholder de felter, der er nødvendige for certifikatet som distinguished name felter og alt navne (SAN) poster. Denne fil kan navngives som hvad som helst, men filtypen skal være .cnf. Kopier alle nedenstående oplysninger til filen. De eneste felter, der skal redigeres i filen, er felterne i den req_distinguished_name sektion og felterne i den alt_names sektion (rediger sektioner med fed skrift). Se eksemplet nedenfor:

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local

2. Hvis en kunde ikke kan have en mailadresse i sin CSR, kan du fjerne linjen emailAddress fra CNF-filen.
3. Den alt_names del af denne fil er til SAN-posterne (Subject Alternate Name).
4. DNS-felterne i afsnittet alt_names er alternative FQDN-navne til din PowerFlex Manager-vært. Anbring ikke DNS-server-IP-adresser i disse felter. Hvis du ikke har alternative navne, behøver du ikke medtage afsnittet alt_names i filen.
5. Når du er færdig med at redigere filen, skal du gemme ændringerne:

   <ESC> :wq!

6. Opret en ny servernøgle (i eksemplet, hvor vi bruger filnavnet cert.key, kan dette navngives hvad som helst, men skal have. Nøgle filtypenavn):

   openssl genrsa -out cert.key 2048

7. Generer en ny CSR med CNF-konfigurationen:

   openssl req -new -key cert.key -out cert.csr -config cert.cnf

   1. denNøglefilen er den fil, der blev oprettet i trin 6.
   2. Den .csr fil kan navngives som noget, men skal have den .csr filtypenavn. I eksemplet bruger vi cert.csr.
   3. .cnf-filen er den fil, der blev oprettet i trin 5.
8. Bekræft, at din CSR blev genereret korrekt:

   openssl req -text -in cert.csr -noout

9. Du skal kopiere din CSR-fil fra PowerFlex Manager VM for at sende den til dit nøglecenter, så den kan underskrives. Da filerne blev oprettet som root, skal du, hvis du bruger WinSCP, flytte filen og foretage nogle tilladelsesændringer for at kopiere den, da delladmin-brugeren ikke har adgang til mappen /root. Følg disse trin for at kopiere filen til din lokale maskine:
   1. Kopiér CSR-filen til mappen /home/delladmin:

cp /root/newcerts/cert.csr /home/delladmin/

2. Skift tilladelserne til delladmin-ejerskab:

   chown delladmin:delladmin /home/delladmin/cert.csr

3. Brug WinSCP til at kopiere filen fra PFxM-enheden ved hjælp af delladmin-kontoen til at logge på.

10. Når du signerer certifikatet, skal du sikre dig, at det valgte eksportformat er Base-64-kodet X.509 (. CER).

11. Kopiér din CER-fil til PFxM-enheden ved hjælp af WinSCP eller et lignende værktøj til mappen /home/delladmin.
12. Flyt CER-filen til mappen newcerts, og rediger tilladelserne:

cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer

13. Sikkerhedskopier eksisterende certifikater i tilfælde af problemer:

    mkdir /root/origcerts
    cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
    cp /etc/pki/tls/private/localhost.key /root/origcerts/

14. Udskift eksisterende cert- og nøglefiler med de nyligt genererede:

    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
    cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key

15. Genstart PFxM-enheden, og kontrollér, at certifikatet anvendes, når PowerFlex VM er online igen, ved at logge på brugergrænsefladen og kontrollere, at certifikatet vises korrekt i browseren.