PowerFlex OpenSSL을 사용하여 CSR을 생성하고 SSL 인증서를 추가하는 방법

Summary: 이 문서에서는 OpenSSL을 사용하여 CSR을 수동으로 생성하고 서명된 인증서를 PowerFlex Manager에 추가하는 단계를 제공합니다. 이러한 단계는 PowerFlex Manager UI에 필요하거나 사용할 수 없는 필드가 고객에게 있는 경우에 사용할 수 있습니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

이 프로세스를 시작하기 전에 vCenter에서 PowerFlex Manager VM의 스냅샷을 생성합니다. 필요한 경우 롤백 옵션을 제공합니다. 아래 단계에 따라 CSR을 생성하고 서명된 인증서를 PowerFlex Manager 어플라이언스에 적용합니다.
  1. SSH를 통해 PowerFlex Manager 어플라이언스에 연결하고 sudo를 루트에 연결합니다. 
    sudo su -
  2. 루트 디렉토리로 변경합니다. 
    cd /root/
  3. newcerts라는 디렉토리를 만듭니다. 
    mkdir newcerts
  4. 생성한 새 디렉토리로 변경합니다. 
    cd newcerts
  5. CNF 파일을 생성합니다. 
    vi cert.cnf
    1. 이 파일에는 고유 이름 필드 및 대체 이름(SAN) 항목과 같은 인증서에 필요한 필드가 포함되어 있습니다. 이 파일의 이름은 무엇이든 지정할 수 있지만 파일 확장자는 .cnf여야 합니다. 아래의 모든 정보를 파일에 복사합니다. 파일에서 편집해야 하는 필드는 req_distinguished_name 섹션의 필드와 alt_names 섹션의 필드(굵게 표시된 섹션 편집)뿐입니다. 아래 예를 참조하십시오.
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. 고객의 CSR에 이메일 주소가 없는 경우 CNF 파일에서 emailAddress 줄을 제거할 수 있습니다.
  2. 이 파일의 alt_names 섹션은 SAN(Subject Alternate Name) 항목에 대한 것입니다.
  3. alt_names 섹션의 DNS 필드는 PowerFlex Manager 호스트의 대체 FQDN 이름이므로, DNS 서버 IP 주소를 이 필드에 입력하지 마십시오. 대체 이름이 없는 경우 파일에 alt_names 섹션을 포함할 필요가 없습니다.
  4. 파일 편집이 완료되면 변경 사항을 저장합니다. 
    <ESC> :wq!
 
  1. 새 서버 키를 만듭니다(파일 이름 cert.key 사용하는 예에서는 어떤 이름이든 지정할 수 있지만 키 파일 확장자): 
    openssl genrsa -out cert.key 2048
  2. CNF 구성으로 새 CSR을 생성합니다. 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. 키 파일은 6단계에서 생성된 파일입니다.
    2. .csr 파일의 이름은 무엇이든 지정할 수 있지만 .csr 파일 확장자를 가져야 합니다. 이 예에서는 cert.csr를 사용합니다.
    3. .cnf 파일은 5단계에서 만든 파일입니다.
  3. CSR이 올바르게 생성되었는지 확인합니다. 
    openssl req -text -in cert.csr -noout
  4. 서명을 위해 CA(Certificate Authority)로 보내려면 PowerFlex Manager VM에서 CSR 파일을 복사해야 합니다. 파일이 루트로 생성되었기 때문에 WinSCP를 사용하는 경우 delladmin 사용자에게 /root 디렉토리에 대한 액세스 권한이 없으므로 파일을 이동하고 복사 권한을 변경해야 합니다. 다음 단계에 따라 파일을 로컬 머신에 복사합니다.
    1. CSR 파일을 /home/delladmin 디렉토리에 복사합니다.
cp /root/newcerts/cert.csr /home/delladmin/
  1. delladmin 소유권에 대한 권한을 변경합니다. 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. WinSCP를 사용하여 로그인한 뒤 delladmin 계정으로 PFxM 어플라이언스의 파일을 복사합니다.
 
  1. 인증서에 서명할 때 선택한 내보내기 형식이 Base-64로 인코딩된 X.509(. CER)입니다.
인증서 내보내기 설정
  1. WinSCP 또는 유사한 툴을 사용하여 CER 파일을 PFxM 어플라이언스에 /home/delladmin 디렉토리로 복사합니다.
  2. CER 파일을 newcerts 디렉토리로 이동하고 권한을 변경합니다.
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. 문제 발생 시 기존 인증서 백업: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. 기존 인증서 및 키 파일을 새로 생성된 파일로 교체합니다. 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. PFxM 어플라이언스를 재부팅하고 PowerFlex VM이 다시 온라인 상태가 되면 UI에 로그인하고 인증서가 브라우저에 올바르게 표시되는지 확인하여 인증서가 적용되었는지 확인합니다.

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.