PowerFlex OpenSSL:n käyttäminen CSR:n luomiseen ja SSL-varmenteen lisäämiseen

1. Muodosta SSH-yhteys PowerFlex Manager -laitteeseen ja aloita sudo-komennolla:

   sudo su -

2. Vaihda juurihakemistoon:

   cd /root/

3. Tee hakemisto nimeltä newcerts:

   mkdir newcerts

4. Vaihda uuteen luomaasi hakemistoon:

   cd newcerts

5. Luo CNF-tiedosto:

   vi cert.cnf

   1. Tämä tiedosto sisältää varmenteeseen tarvittavat kentät, kuten yksilöivät nimikentät ja vaihtoehtoiset nimet (SAN). Tämä tiedosto voidaan nimetä miksi tahansa, mutta tiedostotunnisteen on oltava .cnf. Kopioi kaikki alla olevat tiedot tiedostoon. Ainoat kentät, joita tiedostossa on muokattava, ovat req_distinguished_name-osan kentät ja alt_names-osan kentät (lihavoidut osat). Katso esimerkkiä:

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local

2. Jos asiakkaalla ei voi olla sähköpostiosoitetta CSR: ssä, voit poistaa emailAddress-rivin CNF-tiedostosta.
3. Tämän tiedoston alt_names-osa koskee SAN (Subject Alternate Name) -merkintöjä.
4. alt_names-osan DNS-kentät ovat PowerFlex Manager -isännän vaihtoehtoisia FQDN-nimiä, älä lisää DNS-palvelimen IP-osoitteita näihin kenttiin. Jos sinulla ei ole vaihtoehtoisia nimiä, sinun ei tarvitse sisällyttää alt_names-osaa tiedostoon.
5. Kun olet muokannut tiedostoa, tallenna muutokset:

   <ESC> :wq!

6. Luo uusi palvelinavain (esimerkissä, jossa käytämme tiedostonimeä cert.key, tämä voidaan nimetä mitä tahansa, mutta sillä on oltava. Avaintiedostopääte):

   openssl genrsa -out cert.key 2048

7. Luo uusi CSR CNF-kokoonpanolla:

   openssl req -new -key cert.key -out cert.csr -config cert.cnf

   1. Avaintiedosto on vaiheessa 6 luotu tiedosto.
   2. .csr tiedosto voidaan nimetä miksi tahansa, mutta sillä on oltava .csr tiedostotunniste. Tässä esimerkissä käytetään cert.csr.
   3. .cnf-tiedosto on vaiheessa 5 luotu tiedosto.
8. Varmista, että CSR on luotu oikein:

   openssl req -text -in cert.csr -noout

9. Sinun on kopioitava CSR-tiedosto PowerFlex Manager -virtuaalikoneesta, jotta voit lähettää sen varmenteen myöntäjälle (CA) allekirjoitettavaksi. Koska tiedostot luotiin root-tiedostona, tiedosto on kopioitava siirtämällä se ja tekemällä joitakin muutoksia käyttöoikeuksiin, koska delladmin-käyttäjällä ei ole /root-hakemiston käyttöoikeutta. Voit kopioida tiedoston paikalliseen tietokoneeseen seuraavasti:
   1. Kopioi CSR-tiedosto hakemistoon /home/delladmin:

cp /root/newcerts/cert.csr /home/delladmin/

2. Muuta oikeudet delladmin ownership -oikeuksiksi:

   chown delladmin:delladmin /home/delladmin/cert.csr

3. Kopioi tiedosto PFxM-laitteesta WinSCP:llä käyttämällä delladmin-tiliä kirjautumiseen.

10. Kun allekirjoitat varmenteen Varmista, että valittu vientimuoto on Base-64-koodattu X.509 (. CER).

11. Kopioi CER-tiedosto PFxM-laitteeseen WinSCP:llä tai vastaavalla työkalulla hakemistoon /home/delladmin.
12. Siirrä CER-tiedosto newcerts-hakemistoon ja muuta käyttöoikeuksia:

cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer

13. Olemassa olevien varmenteiden varmuuskopiointi ongelmien varalta:

    mkdir /root/origcerts
    cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
    cp /etc/pki/tls/private/localhost.key /root/origcerts/

14. Korvaa olemassa olevat varmenne- ja avaintiedostot uusilla tiedostoilla:

    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
    cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key

15. Käynnistä PFxM-laite uudelleen ja tarkista, että varmenne on käytössä, kun PowerFlex-virtuaalikone on taas toiminnassa, kirjautumalla käyttöliittymään ja tarkistamalla, että varmenne näkyy selaimessa oikein.