Data Domain : Génération d’une CSR en dehors du DD

Dans la plupart des cas, vous pouvez utiliser cet article de la base de connaissances pour générer la CSR et importer les certificats :

Data Domain : gestion des certificats d’hôte pour HTTP et HTTPS

Dans des cas plus rares, cette base de connaissances est utilisée lorsque vous ne pouvez pas générer la CSR sur le DD lui-même.

L’importation d’un certificat signé par une autorité de certification permet un accès HTTPS à Data Domain System Manager sans avoir à contourner les vérifications du navigateur pour les certificats non signés par un tiers de confiance. Une fois la première connexion SSL établie à l’interface utilisateur DD, le trafic est également protégé contre les écoutes à l’aide d’un certificat signé en externe ou d’un certificat auto-signé. La société peut exiger que tous les hôtes disposant d’un accès SSL aient des certificats signés par l’autorité de certification interne ou externe, pour la confiance.

Pour créer ce certificat signé en externe, il existe différentes approches. Celle que nous vous recommandons avec DD OS 6.2.0.35 et les versions ultérieures consiste à utiliser la commande de l’interface de ligne de commande DD « adminaccess certificate cert-signing-request generate » pour créer une demande de signature de certificat (CSR), qui doit être soumise à l’autorité de certification de votre choix pour signature. Le certificat signé est ensuite importé dans le DD pour HTTPS. Vous trouverez tous les détails dans l’article Data Domain de la base de connaissances : Comment générer une demande de signature de certificat et utiliser des certificats signés

en externeL’autre approche consiste à utiliser un hôte distinct dans le réseau avec un ensemble récent de bibliothèques et de binaires OpenSSL installés pour générer la CSR à signer. Une fois le certificat signé obtenu, le bit du certificat signé et la clé privée associée au certificat sont transférés et importés manuellement dans DD. Ce processus est le suivant :    

1. Connectez-vous à un serveur Linux, UNIX ou à un autre serveur sur lequel OpenSSL est installé, puis générez d’abord une paire de clés publique/privée. DD génère des clés de 2 048 bits par défaut, les clés de 1 024 bits sont déconseillées et les clés de 4 096 bits sont peut-être un peu trop :    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Générez une demande de signature de certificat (CSR) à l’aide de la clé privée produite lors de la première étape et fournissez les détails dans la CSR à signer, tels que le nom commun, l’adresse e-mail, le pays et la ville, etc.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Notez que dans la plupart des installations OpenSSL, l’extension « subjectAltName », qui est une exigence obligatoire conformément à la RFC 3280, n’est pas ajoutée à la CSR ou demandée. Certaines autorités de certification privées et publiques peuvent refuser de traiter la CSR en raison de l’absence de cette extension. Dans le cas d’un certificat DD utilisé pour l’interface utilisateur, « subjectAltName » doit être le nom de domaine complet du DD lors de l’accès à partir du navigateur.
 

Pour spécifier un « subjetAltName » lors de la création de la CSR, si vous utilisez OpenSSL 1.1.1, vous pouvez le faire à partir de la ligne de commande « OpenSSL » elle-même. Si ce n’est pas le cas, vous devrez modifier le fichier /etc/ssl/openssl.cnf, ce qui dépasse le cadre de ce document. Si vous utilisez OpenSSL 1.1.1 ou une version ultérieure :    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Obtenez le fichier CSR « host_csr.csr » et téléchargez-le vers l’autorité de certification correspondante pour signature. Si l’autorité de certification est interne, donnez-la à l’administrateur de l’autorité de certification ou signez-la via le processus normal (qui doit utiliser une ligne de commande telle que celle ci-dessous) :   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  Dans tous les cas, le résultat est généralement un fichier de certificat codé en .pem ou .cer (« host_cert.pem » dans l’exemple). Pour importer le certificat dans DD, il doit être regroupé au format PKCS#12 avec la clé (privée) générée lors de la première étape. À partir du même hôte où la première étape a été exécutée :    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

Il est essentiel de définir un mot de passe pour le fichier PKCS#12, sinon l’importation du certificat échouera sur le système Data Domain. Le mot de passe n’est pas demandé lors de l’utilisation normale de Data Domain après l’installation de la certification. Les arguments '-keypbe PBE-SHA1-3DES' et '-certpbe PBE-SHA1-3DES' permettent de s’assurer que l’algorithme pris en charge de « PBE-SHA1-3DES » est utilisé lors de la modification de l’autorité de certification. Cela évitera à l’utilisateur final de recevoir une erreur lors de la tentative d’importation de son certificat signé.

5. Copiez le fichier de certificat « host.p12 » résultant dans le répertoire « /ddr/var/certificates/ » sur Data Domain (par exemple, en utilisant SCP sur le DD).

6. Avant d’importer le certificat généré et signé en externe vers Data Domain, vérifiez que Data Domain ne dispose pas d’une CSR existante. Data Domain tente de faire correspondre le certificat importé à n’importe quelle CSR du système, et s’il en existe une, il ne correspond pas et refuse de charger le certificat importé avec le message d’erreur suivant :    

Imported host certificate does not match the generated CSR

Vérifiez s’il existe une CSR sur le système :    

# adminaccess certificate cert-signing-request show

S’il existe déjà une CSR, supprimez-la avant d’aller plus loin, sinon l’importation du certificat échouera :    

# adminaccess certificate cert-signing-request delete

7. Importez le nouveau certificat à partir de la CLI. Indiquez le mot de passe utilisé pour créer le PKCS#12 à l’étape précédente et utilisez « application https » pour utiliser le certificat importé pour DD System Manager ou l’interface utilisateur graphique DDMC :    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Remarque : « adminaccess certificate show » doit désormais répertorier un certificat d’hôte importé pour https. Le certificat auto-signé par défaut pour https est noté comme Not in use.