Data Domain. Создание CSR за пределами DD

В большинстве случаев вы захотите использовать эту статью базы знаний для создания CSR и импорта сертификатов:

Data Domain — управление сертификатами хостов для HTTP и HTTPS

В более редких случаях эта статья базы знаний используется, когда не удается создать CSR в самой DD.

Импорт сертификата, подписанного CA, обеспечивает доступ к Data Domain System Manager по протоколу HTTPS без необходимости обходить проверки браузера на наличие сертификатов, не подписанных доверенной третьей стороной. Как только первое SSL-соединение с графическим интерфейсом пользователя DD установлено, трафик одинаково защищен от прослушивания с помощью сертификата с внешней или самозаверяющей подписью, компания может потребовать, чтобы все хосты с доступом по SSL имели сертификаты, подписанные внутренним или внешним CA для доверия.

Для создания сертификата, подписанного извне, существуют различные подходы. В DD OS 6.2.0.35 и более поздних версиях рекомендуется воспользоваться командой интерфейса командной строки DD «adminaccess certificate cert-signing-request generate» для создания запроса подписи сертификата (CSR), который должен быть отправлен выбранному ЦС для подписи. Затем подписанный сертификат импортируется в DD для протокола HTTPS. Все подробности см. в статье базы знаний Data Domain: Как создать запрос на подпись сертификата и использовать сертификаты

с внешней подписьюДругой подход заключается в использовании отдельного хоста в сети с недавним набором библиотек OpenSSL и двоичных файлов, установленных для создания CSR для подписи. После получения подписанного сертификата бит подписанного сертификата и связанного с ним закрытого ключа вручную передаются в DD и импортируются в нее. Этот процесс выглядит следующим образом:    

1. Войдите на Linux, UNIX или другой сервер с установленным OpenSSL и сначала создайте пару открытого и закрытого ключей. По умолчанию DD генерирует 2048-битные ключи, 1024-битные ключи не рекомендуются, а 4096-битные ключи могут быть слишком большими:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Создайте запрос подписи сертификата (CSR), используя закрытый ключ, созданный на первом шаге, и укажите в CSR сведения для подписи, такие как общее имя, адрес электронной почты, страна и город и т. д.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Обратите внимание, что в большинстве установок OpenSSL расширение "subjectAltName", которое является обязательным требованием в соответствии с RFC 3280, не добавляется в CSR и не запрашивается. Некоторые частные и государственные ЦС могут отказать в обработке CSR из-за отсутствия этого продления. В случае сертификата DD, используемого для графического интерфейса пользователя, «subjectAltName» должно быть полностью определенным доменным именем для DD при доступе из браузера.
 

Чтобы указать "subjetAltName" при создании CSR, при использовании OpenSSL 1.1.1, это можно сделать из командной строки "OpenSSL". Если нет, то потребуется изменить файл /etc/ssl/openssl.cnf, что выходит за рамки данного документа. При использовании OpenSSL 1.1.1 или более поздней версии:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Получите файл запроса подписи сертификата host_csr.csr и загрузите его в соответствующий ИС для подписи. Если CA является внутренним, передайте его администратору CA или подпишите в обычном порядке (для чего потребуется использовать командную строку, подобную приведенной ниже):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  В любом случае результатом обычно будет файл сертификата в формате .pem или .cer (в данном примере — host_cert.pem). Для импорта сертификата в DD он должен быть объединен в формате PKCS#12 вместе с (закрытым) ключом, сгенерированным на первом шаге. С того же хоста, на котором был выполнен первый шаг:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

Очень важно задать пароль для файла PKCS#12, иначе импорт сертификата в Data Domain завершится сбоем. Пароль не будет запрашиваться при обычном использовании Data Domain после установки сертификации. Аргументы «-keypbe PBE-SHA1-3DES» и «-certpbe PBE-SHA1-3DES» обеспечивают использование поддерживаемого алгоритма «PBE-SHA1-3DES» при изменении источника сертификатов. Это позволит конечному пользователю избежать ошибки при попытке импортировать подписанный сертификат.

5. Скопируйте полученный файл сертификата «host.p12» в каталог «/ddr/var/certificates/» в Data Domain (например, используя SCP в DD).

6. Перед импортом созданного и подписанного внешнего сертификата в Data Domain убедитесь, что в Data Domain отсутствует существующий CSR. Data Domain попытается сопоставить импортированный сертификат с любым CSR в системе, и если таковой существует, он не будет соответствовать и откажется загружать импортированный сертификат, выдавая следующее сообщение об ошибке:    

Imported host certificate does not match the generated CSR

Убедитесь, что в системе есть CSR.    

# adminaccess certificate cert-signing-request show

Если существует CSR, удалите его, прежде чем продолжить, иначе импорт сертификата завершится сбоем:    

# adminaccess certificate cert-signing-request delete

7. Импортируйте новый сертификат из интерфейса командной строки. Введите пароль, который использовался для создания PKCS#12 на предыдущем шаге, и используйте «application https», чтобы использовать импортированный сертификат для графического интерфейса пользователя DD System Manager или DDMC:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Примечание. Теперь «adminaccess certificate show» должен отображать сертификат импортируемого хоста для HTTPS. Самозаверяющий сертификат по умолчанию для https будет помечен как Не используется.