PowerFlex: Jak używać OpenSSL do generowania CSR i dodawania certyfikatu SSL

Summary: Ten artykuł zawiera instrukcje ręcznego tworzenia CSR przy użyciu protokołu OpenSSL i dodawania podpisanego certyfikatu do programu PowerFlex Manager. Te kroki mogą być stosowane, gdy klient ma pola, których wymaga lub których nie może użyć w interfejsie użytkownika PowerFlex Manager lub których nie ma. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Przed rozpoczęciem tego procesu należy utworzyć migawkę maszyny wirtualnej PowerFlex Manager w vCenter. Zapewnia to opcję cofnięcia w razie potrzeby. Wykonaj poniższe czynności, aby wygenerować CSR i zastosować podpisany certyfikat do urządzenia PowerFlex Manager.
  1. SSH do urządzenia PowerFlex Manager i sudo do katalogu głównego: 
    sudo su -
  2. Zmień katalog na katalog główny: 
    cd /root/
  3. Utwórz katalog o nazwie newcerts: 
    mkdir newcerts
  4. Zmień na nowo utworzony katalog: 
    cd newcerts
  5. Utwórz plik CNF: 
    vi cert.cnf
    1. Plik ten zawiera pola wymagane dla certyfikatu, takie jak pola nazw wyróżniających i wpisy nazw alternatywnych (SAN). Plik ten może mieć dowolną nazwę, ale musi mieć rozszerzenie .cnf. Skopiuj wszystkie poniższe informacje do pliku. Jedynymi polami, które powinny być edytowane w pliku, są pola w sekcji req_distinguished_name oraz pola w sekcji alt_names (edytuj sekcje pogrubione). Zapoznaj się z poniższym przykładem:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Jeśli klient nie może mieć adresu e-mail w swoim CSR, możesz usunąć wiersz emailAddress z pliku CNF.
  2. Sekcja alt_names tego pliku jest przeznaczona dla wpisów SAN (Subject Alternate Name).
  3. Pola DNS w sekcji alt_names to alternatywne nazwy FQDN hosta PowerFlex Manager. W tych polach nie należy umieszczać adresów IP serwera DNS. Jeśli nie masz alternatywnych nazw, nie musisz dołączać sekcji alt_names do pliku.
  4. Po zakończeniu edycji pliku zapisz zmiany: 
    <ESC> :wq!
 
  1. Utwórz nowy klucz serwera (w przykładzie, w którym używamy nazwy pliku cert.key, można go nazwać dowolnym, ale musi mieć. Rozszerzenie pliku klucza): 
    openssl genrsa -out cert.key 2048
  2. Wygeneruj nowy CSR z konfiguracją CNF: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. ThePlik klucza to plik utworzony w kroku 6.
    2. Plik .csr może mieć dowolną nazwę, ale musi mieć rozszerzenie .csr pliku. W przykładzie używamy cert.csr.
    3. Plik .cnf jest plikiem utworzonym w kroku 5.
  3. Upewnij się, że CSR został wygenerowany poprawnie: 
    openssl req -text -in cert.csr -noout
  4. Należy skopiować plik CSR z maszyny wirtualnej PowerFlex Manager, aby wysłać go do urzędu certyfikacji (CA) w celu podpisania. Ponieważ pliki zostały utworzone jako root, w przypadku korzystania z programu WinSCP należy przenieść plik i dokonać pewnych zmian w uprawnieniach, aby go skopiować, ponieważ użytkownik delladmin nie ma dostępu do katalogu /root. Aby skopiować plik na komputer lokalny, wykonaj następujące czynności:
    1. Skopiuj plik CSR do katalogu /home/delladmin:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Zmień uprawnienia na własność delladmin: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Użyj programu WinSCP, aby skopiować plik z urządzenia PFxM przy użyciu konta delladmin w celu zalogowania się.
 
  1. Podczas podpisywania certyfikatu upewnij się, że wybrany format eksportu to zakodowany w formacie Base-64 X.509 (. CER).
Ustawienia eksportu certyfikatów
  1. Skopiuj plik CER do urządzenia PFxM za pomocą programu WinSCP lub podobnego narzędzia do katalogu /home/delladmin.
  2. Przenieś plik CER do katalogu newcerts i zmień uprawnienia:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Utwórz kopię zapasową istniejących certyfikatów w przypadku jakichkolwiek problemów: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Zastąp istniejące pliki certyfikatów i kluczy nowo wygenerowanymi: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Uruchom ponownie urządzenie PFxM i sprawdź, czy certyfikat został zastosowany po powrocie maszyny wirtualnej PowerFlex do trybu online, logując się do interfejsu użytkownika i sprawdzając, czy certyfikat jest wyświetlany prawidłowo w przeglądarce.

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.