PowerFlex: So verwenden Sie OpenSSL, um eine CSR zu erzeugen und das SSL-Zertifikat hinzuzufügen

Summary: Dieser Artikel enthält die Schritte zum manuellen Erstellen einer CSR mit OpenSSL und zum Hinzufügen des signierten Zertifikats zu PowerFlex Manager. Diese Schritte können verwendet werden, wenn ein Kunde über Felder verfügt, die er benötigt oder nicht verwenden kann und die für die PowerFlex Manager-Benutzeroberfläche erforderlich oder nicht vorhanden sind. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Bevor Sie diesen Prozess starten, erstellen Sie einen Snapshot Ihrer PowerFlex Manager-VM in vCenter. Dadurch wird bei Bedarf eine Rollback-Option bereitgestellt. Führen Sie die folgenden Schritte aus, um die CSR zu erzeugen und das signierte Zertifikat auf die PowerFlex Manager -Appliance anzuwenden.
  1. Stellen Sie eine SSH-Verbindung zur PowerFlex Manager -Appliance her und führen Sie eine sudo-Verbindung zum root-Nutzer durch: 
    sudo su -
  2. Wechseln Sie in das Stammverzeichnis: 
    cd /root/
  3. Erstellen Sie ein Verzeichnis namens newcerts: 
    mkdir newcerts
  4. Wechseln Sie in das neue Verzeichnis, das Sie erstellt haben: 
    cd newcerts
  5. Erstellen Sie eine CNF-Datei: 
    vi cert.cnf
    1. Diese Datei enthält die Felder, die für das Zertifikat benötigt werden, wie z. B. Distinguished Name-Felder und SAN-Einträge (Alt Names). Diese Datei kann beliebig benannt werden, die Dateierweiterung muss jedoch .cnf lauten. Kopieren Sie alle unten aufgeführten Informationen in die Datei. Die einzigen Felder, die in der Datei bearbeitet werden sollten, sind die Felder im Abschnitt req_distinguished_name und die Felder im Abschnitt alt_names (fett gedruckte Abschnitte bearbeiten). Sehen Sie sich das folgende Beispiel an:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Wenn ein Kunde keine E-Mail-Adresse in seiner CSR haben kann, können Sie die emailAddress-Zeile aus der CNF-Datei entfernen.
  2. Der alt_names Abschnitt dieser Datei ist für die SAN-Einträge (Subject Alternate Name).
  3. Die DNS-Felder im Abschnitt alt_names sind alternative FQDN-Namen für Ihren PowerFlex Manager-Host. Geben Sie in diesen Feldern keine DNS-Server-IP-Adressen ein. Wenn Sie keine alternativen Namen haben, müssen Sie den Abschnitt alt_names nicht in die Datei aufnehmen.
  4. Wenn Sie mit der Bearbeitung der Datei fertig sind, speichern Sie Ihre Änderungen: 
    <ESC> :wq!
 
  1. Erstellen Sie einen neuen Serverschlüssel (in dem Beispiel, in dem wir den Dateinamen cert.key verwenden, kann dieser beliebig benannt werden, muss aber den. Schlüsseldateierweiterung): 
    openssl genrsa -out cert.key 2048
  2. Erzeugen Sie eine neue CSR mit der CNF-Konfiguration: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. Die Schlüsseldatei ist die Datei, die in Schritt 6 erstellt wurde.
    2. Die .csr Datei kann beliebig benannt werden, muss jedoch die Dateierweiterung .csr haben. Im Beispiel verwenden wir cert.csr.
    3. Die CNF-Datei ist die Datei, die in Schritt 5 erstellt wurde.
  3. Vergewissern Sie sich, dass Ihre CSR korrekt generiert wurde: 
    openssl req -text -in cert.csr -noout
  4. Sie müssen Ihre CSR-Datei von der PowerFlex Manager-VM kopieren und zur Signierung an Ihre Zertifizierungsstelle (CA) senden. Da die Dateien als Root erstellt wurden, müssen Sie bei Verwendung von WinSCP die Datei verschieben und einige Berechtigungsänderungen vornehmen, um sie zu kopieren, da der Nutzer delladmin keinen Zugriff auf das Verzeichnis /root hat. Führen Sie die folgenden Schritte aus, um die Datei auf Ihren lokalen Computer zu kopieren:
    1. Kopieren Sie die CSR-Datei in das Verzeichnis /home/delladmin:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Ändern Sie die Berechtigungen auf delladmin ownership: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Verwenden Sie WinSCP, um die Datei von der PFxM-Appliance zu kopieren, indem Sie sich mit dem delladmin-Konto anmelden.
 
  1. Wenn Sie Ihr Zertifikat signieren, stellen Sie sicher, dass das ausgewählte Exportformat Base-64-kodiert X.509 (. CER).
Einstellungen für den Zertifikatexport
  1. Kopieren Sie Ihre CER-Datei mithilfe von WinSCP oder einem ähnlichen Tool in das Verzeichnis /home/delladmin auf die PFxM-Appliance.
  2. Verschieben Sie die CER-Datei in das Verzeichnis newcerts und ändern Sie die Berechtigungen:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Vorhandene Zertifikate für den Fall von Problemen sichern: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Ersetzen Sie vorhandene Zertifikat- und Schlüsseldateien durch die neu generierten: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Starten Sie die PFxM-Appliance neu und überprüfen Sie, ob das Zertifikat angewendet wird, sobald die PowerFlex-VM wieder online ist, indem Sie sich bei der Benutzeroberfläche anmelden und überprüfen, ob das Zertifikat im Browser korrekt angezeigt wird.

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.