PowerFlex: як використовувати OpenSSL для створення CSR і додавання сертифіката SSL

Summary: У цій статті описано кроки для ручного створення CSR за допомогою OpenSSL і додавання підписаного сертифіката до PowerFlex Manager. Ці кроки можна використовувати, коли у клієнта є поля, які він вимагає або не може використовувати, які вимагає або не має інтерфейс користувача PowerFlex Manager. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Перш ніж розпочати цей процес, зробіть знімок віртуальної машини PowerFlex Manager у vCenter. Це забезпечує можливість відкочування, якщо це необхідно. Виконайте наведені нижче дії, щоб створити CSR і застосувати підписаний сертифікат до пристрою PowerFlex Manager.
  1. SSH до пристрою PowerFlex Manager і sudo до root: 
    sudo su -
  2. Змініть на кореневий каталог: 
    cd /root/
  3. Створіть довідник під назвою newcerts: 
    mkdir newcerts
  4. Перейдіть до нового каталогу, який ви створили: 
    cd newcerts
  5. Створення CNF-файлу: 
    vi cert.cnf
    1. Цей файл містить поля, необхідні для сертифіката, як-от поля розрізнених імен і записи альтернативних імен (SAN). Цей файл можна назвати як завгодно, але розширення файлу має бути .cnf. Скопіюйте всю наведену нижче інформацію у файл. Єдиними полями, які слід редагувати у файлі, є поля в розділі req_distinguished_name та поля в розділі alt_names (редагувати виділені жирним шрифтом розділи). Дивіться приклад нижче:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Якщо клієнт не може мати адресу електронної пошти у своєму CSR, ви можете видалити рядок emailAddress з файлу CNF.
  2. Розділ alt_names цього файлу призначено для записів SAN (альтернативне ім'я суб'єкта).
  3. Поля DNS у розділі alt_names є альтернативними іменами FQDN для вашого хоста PowerFlex Manager, не вказуйте IP-адреси DNS-сервера в цих полях. Якщо у вас немає альтернативних імен, вам не потрібно включати розділ alt_names у файл.
  4. Після того, як ви закінчите редагувати файл, збережіть зміни: 
    <ESC> :wq!
 
  1. Створіть новий ключ сервера (у прикладі, що ми використовуємо ім'я файлу cert.key, це може бути названо як завгодно, але повинно мати. Розширення файлу ключа): 
    openssl genrsa -out cert.key 2048
  2. Згенеруйте новий КСВ з конфігурацією CNF: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. Файл ключа – це файл, створений на кроці 6.
    2. Файл .csr можна назвати як завгодно, але він повинен мати розширення .csr. У прикладі ми використовуємо cert.csr.
    3. Файл .cnf – це файл, створений на кроці 5.
  3. Підтвердьте, що ваш CSR був згенерований правильно: 
    openssl req -text -in cert.csr -noout
  4. Потрібно скопіювати файл CSR із віртуальної машини PowerFlex Manager, щоб надіслати його до центру сертифікації (CA) для підписання. Оскільки файли були створені від імені root, якщо ви використовуєте WinSCP, вам потрібно перемістити файл і внести деякі зміни дозволів, щоб скопіювати його, оскільки користувач delladmin не має доступу до каталогу /root. Виконайте такі дії, щоб скопіювати файл на локальний комп'ютер:
    1. Скопіюйте файл CSR в директорію /home/delladmin:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Змініть дозволи на володіння delladmin: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Використовуйте WinSCP для копіювання файлу з пристрою PFxM, використовуючи обліковий запис delladmin для входу.
 
  1. Під час підписання сертифіката переконайтеся, що вибрано формат експорту з кодуванням Base-64 X.509 (. ЦЕР).
Налаштування експорту сертифіката
  1. Скопіюйте ваш файл CER до пристрою PFxM за допомогою WinSCP або аналогічного інструменту в директорію /home/delladmin.
  2. Перемістіть файл CER в директорію newcerts і змініть дозволи:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Створіть резервну копію існуючих сертифікатів у разі виникнення будь-яких проблем: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Замініть існуючі файли сертифікатів і ключів на новостворені: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Перезавантажте пристрій PFxM і переконайтеся, що сертифікат застосовано, коли віртуальна машина PowerFlex знову підключиться до мережі, увійшовши в інтерфейс користувача та переконавшись, що сертифікат правильно відображається в браузері.

Affected Products

PowerFlex rack, ScaleIO
Article Properties
Article Number: 000204726
Article Type: How To
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.