PowerFlex 如何使用 OpenSSL 產生 CSR 和新增 SSL 憑證
Summary: 本文提供使用 OpenSSL 手動建立 CSR,以及將已簽署憑證新增至 PowerFlex Manager 的步驟。當客戶擁有需要或無法使用 PowerFlex Manager UI 需要或不具備的欄位時,即可使用這些步驟。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
開始此程序之前,請在 vCenter 中取得您的 PowerFlex Manager VM 快照。如果需要,這將提供回滾選項。請依照以下步驟產生 CSR,並將簽署的憑證套用至 PowerFlex Manager 裝置。
- SSH 至 PowerFlex Manager 裝置,然後 sudo 至 root:
sudo su -
- 變更至根目錄:
cd /root/
- 建立一個名為 newcerts 的目錄:
mkdir newcerts
- 變更為您建立的新目錄:
cd newcerts
- 建立 CNF 檔案:
vi cert.cnf
- 此檔案包含憑證所需的欄位,例如辨別名稱欄位和替代名稱 (SAN) 項目。此檔可以命名為任何名稱,但檔擴展名必須是 .cnf。將以下所有資訊複製到檔案中。檔中唯一應編輯的欄位是req_distinguished_name部分中的欄位和alt_names部分中的欄位(編輯粗體部分)。請參閱以下範例:
[req] distinguished_name = req_distinguished_name req_extensions = req_ext prompt = no [req_distinguished_name] C = US ST = California L = Woodland O = PinballDivision OU = Developer CN = pfxm99.vxflex.local emailAddress = support@pinball.org [req_ext] subjectAltName = @alt_names [alt_names] IP.1 = 192.168.150.11 IP.2 = 10.10.10.14 IP.3 = 10.10.10.17 DNS.1 = devpfxm.vxflex.local DNS.2 = pinballstore.vxflex.local
- 如果客戶的 CSR 中不能有電子郵件地址,您可以從 CNF 檔案中移除 emailAddress 行。
- 此檔案的alt_names區段用於 SAN (主體別名) 項目。
- alt_names區段中的 DNS 欄位是 PowerFlex Manager 主機的備用 FQDN 名稱,請勿在這些欄位中放入 DNS 伺服器 IP 位址。如果沒有備用名稱,則無需在檔中包含alt_names節。
- 編輯完檔案後,請儲存變更:
<ESC> :wq!
- 建立新的伺服器金鑰 (在範例中我們使用檔案名稱cert.key,這可以命名為任何名稱,但必須具有 。金鑰副檔名):
openssl genrsa -out cert.key 2048
- 使用 CNF 組態產生新的 CSR:
openssl req -new -key cert.key -out cert.csr -config cert.cnf
- 金鑰檔案是在步驟 6 中建立的檔案。
- .csr檔可以命名為任何名稱,但必須具有.csr檔擴展名。在此範例中,我們使用 cert.csr。
- .cnf 檔是在步驟 5 中創建的檔。
- 確認您的 CSR 已正確產生:
openssl req -text -in cert.csr -noout
- 您必須從 PowerFlex Manager VM 複製 CSR 檔案,以傳送至您的認證機構 (CA) 進行簽署。由於檔案是以 root 身分建立,如果您使用的是 WinSCP,您必須移動檔案並進行部分權限變更才能複製,因為 delladmin 使用者沒有 /root 目錄的存取權。使用以下步驟將檔案複製到本地電腦:
- 將 CSR 檔案複製到 /home/delladmin 目錄:
cp /root/newcerts/cert.csr /home/delladmin/
- 將權限變更為 delladmin 擁有權:
chown delladmin:delladmin /home/delladmin/cert.csr
- 使用 WinSCP 將檔案從 PFxM 裝置複製出去,並使用 delladmin 帳戶登入。
- 簽署憑證時,請確保選取的匯出格式為 Base-64 編碼的 X.509 (.環化矽)。
- 使用 WinSCP 或類似工具,將您的 CER 檔案複製到 PFxM 裝置至 /home/delladmin 目錄。
- 將 CER 檔案移至 newcerts 目錄並變更權限:
cp /home/delladmin/cert.cer /root/newcerts/ chown root:root /root/newcerts/cert.cer
- 備份現有的憑證,以防發生任何問題:
mkdir /root/origcerts cp /etc/pki/tls/certs/localhost.crt /root/origcerts/ cp /etc/pki/tls/private/localhost.key /root/origcerts/
- 將現有的憑證和金鑰檔案更換為新產生的檔案:
cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
- 將 PFxM 裝置重新開機,並確認憑證是否已在瀏覽器中正確顯示,以檢查 PowerFlex VM 重新上線後是否已套用憑證。
Affected Products
PowerFlex rack, ScaleIOArticle Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.