Avamar. Создание запроса на подпись сертификата (CSR) с альтернативным именем субъекта (SAN) для отправки в источник сертификатов (CA)
Summary: Используйте инструмент goav для создания запроса подписи сертификата (csr), который необходимо отправить в центр сертификации на подпись.
Instructions
Минимальная версия Goav: 1.39
Скачать/установить инструмент
Goav 000192151 | Avamar. Инструмент
GoavЗаметка
Все команды безопасности goav должны выполняться от имени root.
Автоматическое создание запроса подписи сертификата с помощью Goav.
При создании CSR доступны три варианта.
-
goav security certificate csr
-
goav security certificate csr --custom
-
goav security certificate csr --custom --bits <keysize>
Вариант 1
Создайте CSR с автоматическим определением имени хоста в операционной системе.
Команда:
./goav security certificate csr
Goav извлекает полное доменное имя (FQDN) и краткое имя с Avamar Server.
При этом создается CSR с полным доменным именем (FQDN) в качестве общего имени сервера и двумя записями SAN системы доменных имен (DNS) (FQDN и shortname).
Вариант 2
Создайте CSR с пользовательским списком имен хостов.
Команда:
./goav security certificate csr --custom
Goav предложит вам ввести FQDN, которое вы хотите использовать для сертификата.
Goav предложит вам ввести список дополнительных имен хостов для включения в SAN.
Это делается для того, чтобы запрос сертификата был действителен для нескольких серверов Avamar при условии, что их имена хостов находятся в сети SAN.
Вариант 3
Создайте CSR с определенной длиной или размером ключа.
Команда:
./goav security certificate csr --bits 3072
./goav security certificate csr --custom --bits 4096
Если флаг --bits не используется, goav по умолчанию будет использовать 2048-битный размер ключа для сгенерированной пары закрытых/открытых ключей.
При использовании флага --bits можно указать более сильный размер ключа, например 3072 или 4096.
Результаты
После выполнения команды:
- В /home/admin/goav_certs/, будут созданы два файла.
- Закрытый ключ сохранен в /home/admin/goav_certs/webserver_key.key
- csr сохранен в /home/admin/goav_certs/webserver_csr.csr
- Удобно, что csr выводится на экран в конце выполнения, если вы хотите скопировать и вставить, чтобы отправить в ca
- Сгенерированный закрытый ключ будет в формате PKCS1, не нужно преобразовывать его позже при установке подписанных веб-сертификатов в Avamar.
Примеры
Автоматическое имя хоста с указанным размером ключа
root@ser-ave03:/home/admin/#: ./goav security certificate csr --bits 3072 =========================================================== GoAv : 1.38 Avamar : 19.7 Date : 19 Oct 2022 08:55 MDT =========================================================== NOTE: This is not an official tool =========================================================== Generating Private Key & Certificate Signing Request ---------------------------------------------------- Operations Directory: /home/admin/goav_certs 2 Letter Country Code: US Locale/State: Florida City/Provice: Miami Organization: Dell Technologies Organizational Unit (OU): Avamar 2022/10/19 08:55:57 Processing distinguished name for subject portion of request 2022/10/19 08:55:57 Auto csr generation selected... pulling hostname info from server 2022/10/19 08:55:58 3072 bit key generated 2022/10/19 08:55:58 CSR generated with auto hostname selection INFO ---- Web server private key saved: /home/admin/goav_certs/webserver_key.key Web server signing request saved: /home/admin/goav_certs/webserver_csr.csr ** Copy the output below and send it to your CA for signing ** -----BEGIN CERTIFICATE REQUEST----- MIIEATCCAmkCAQAwfTELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBU1pYW1pMRAwDgYD VQQHEwdGbG9yaWRhMRowGAYDVQQKExFEZWxsIFRlY2hub2xvZ2llczEPMA0GA1UE CxMGQXZhbWFyMR8wHQYDVQQDExZzZXItYXZlMDMuaXN1cy5lbWMuY29tMIIBojAN BgkqhkiG9w0BAQEFAAOCAY8AMIIBigKCAYEA2bTdYXfWZmaZ7ih5D+iDEUk7S1NR oBdMpePBQi1js8Z0fFgTJ8cVSlV7zcFF3UWNovbafxsDm54w5iGqoGElykxF7xRd YXiOFukGsPoSjdJy6LzDLfYLjnyiDPRY7CaFZNdKv/13U++Fl6MsnkXn2+bfiU0j 6FVZybgyc9JsjYlJ0xlXSvmR5P/kUhJKuoS6yTj/LJgXbaEMkq/hyM1FhjV6m7YH 9St4r/fYXzeqkzNTUVZhVjDUDZ7JE6SZKv+TPj51Pf9JfReHQokuZpKYXIqaFMSH e1FT95WqZmfVmpJ6mYZvPOkpySV5p0jDSQtETAVsIKKditu5iZU7ctocQZ+29S+4 ntFUFuj/7yi73VdzouTG1Z4pO4xxhwaQPEPgy3QqhvbRJDXuMoHassZAunBDw7o1 Qjy5JMWMT9VJ0s2mxMOizRu1jHhXvHP8hp0I2mxsJEl9kromsYJz3VKHGmFREfnB Y9QcdfBfLLznA/hGQT6iQ1m7tKCRLsKd/IvFAgMBAAGgPzA9BgkqhkiG9w0BCQ4x MDAuMCwGA1UdEQQlMCOCFnNlci1hdmUwMy5pc3VzLmVtYy5jb22CCXNlci1hdmUw MzANBgkqhkiG9w0BAQsFAAOCAYEAcughc+E7YJjN9OMH5aKneFfjRIBhTx7+zYoT bgPfCyrlh9azs3ZBxzu/LIijH1fIVCuetPbS7ZhGxF119gi/tdNaJlZtCJoRIFuS 6UPjl2JeRaAdUiuorUCofngozL+fvKKNUz94GGRk7q3DAERnUlrqRmdFmvd8TTmx BSd5IkOep7hw3FoNGB82X2mN8lhtExTjndWCa0eW8sX2i1C78o6IQ1majVwBGRdk 2pKxM7ANyZmLq7/K31txhy/mUYFdoxgUkMWezRC1Nj/M4RTbsd/LroX6zuIlKD0y 0t9tAdDHh5aMri28SwhXhumXSbHruve7wTEp9i5nqQTXLhs7iplw7iac1k8qm1qk XhHbIihL0AgKESozHgl/bAMSfKT8KU5YJ6XlzscSwtHBrPhUcN70VsASPyW8nsID IEJ2QO1IV6ZJTi70LGcteSPOtClAvilRV/+1JbX54xlKb5c57FfavfIRPEh+rPQc hTZkw4uKgra2jySunwVRvnPGCMww -----END CERTIFICATE REQUEST-----
Пользовательский выбор имени хоста
root@ser-ave03:/home/admin/#: ./goav security certificate csr --custom =========================================================== GoAv : 1.38 Avamar : 19.7 Date : 19 Oct 2022 08:57 MDT =========================================================== NOTE: This is not an official tool =========================================================== Generating Private Key & Certificate Signing Request ---------------------------------------------------- Operations Directory: /home/admin/goav_certs 2 Letter Country Code: US Locale/State: Florida City/Provice: Miami Organization: Dell Technologies Organizational Unit (OU): Avamar 2022/10/19 08:57:41 Processing distinguished name for subject portion of request 2022/10/19 08:57:41 Custom csr generation selected... Hostname Section ---------------- Enter FQDN: ser-ave03.isus.emc.com 2022/10/19 08:57:44 FQDN added to Common Name in Subject Enter an additional hostname (type 'q' to finish): ser-ave03 Enter an additional hostname (type 'q' to finish): ser-ave02.isus.emc.com Enter an additional hostname (type 'q' to finish): ser-ave02 Enter an additional hostname (type 'q' to finish): q 2022/10/19 08:58:10 2048 bit key generated 2022/10/19 08:58:10 CSR generated with custom hostname list INFO ---- Web server private key saved: /home/admin/goav_certs/webserver_key.key Web server signing request saved: /home/admin/goav_certs/webserver_csr.csr ** Copy the output below and send it to your CA for signing ** -----BEGIN CERTIFICATE REQUEST----- MIIDJDCCAgwCAQAwfTELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBU1pYW1pMRAwDgYD VQQHEwdGbG9yaWRhMRowGAYDVQQKExFEZWxsIFRlY2hub2xvZ2llczEPMA0GA1UE CxMGQXZhbWFyMR8wHQYDVQQDExZzZXItYXZlMDMuaXN1cy5lbWMuY29tMIIBIjAN BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyRhFVbioq/AdJEpaQEWlKId1pMBg TgLQjaRY5iNterwf82huGh3uZCuqL/otx3i2wFbvj3AkvcM/gN3U2tgRV5Yv18KB Ne7HxD8xbpoP+Bzwnwe4tXjMeyj2lcLme07cQm7X63wJA8ZbePISfFBkMYjgyMwG DyMj2h41dMBycK2EgJSaQWoBl8f1OFZL7iX2QFJPYk3rI1aH/IAFnodPpUtjjmIz cpQ4Y2ntR/2zIbGKBI6tDWn0rdbOqByBHMrbd0FSgEoJOJ5wX1l3DmgzdUfWgLHv embtnfTYlevxrQKtECmerucG+mcdqqejBiTDesQQZubHjCoW5yGuckV5qQIDAQAB oGIwYAYJKoZIhvcNAQkOMVMwUTBPBgNVHREESDBGghZzZXItYXZlMDMuaXN1cy5l bWMuY29tgglzZXItYXZlMDOCFnNlci1hdmUwMi5pc3VzLmVtYy5jb22CCXNlci1h dmUwMjANBgkqhkiG9w0BAQsFAAOCAQEAUVQyaTa7Hv02bh3HDPckWLjHAv4TZA+/ Bh9t2KMCsriJUkIuEAkhpnI9Zk69LdCNVj3nkalP4U/qn89UjRZRywlrgZyg4rzE /aqHfYv60jSo/IdKVQzH226v1aqKayBMZAvFOgIMN23ltMN2fYQ94LxQqnbHePrC BWkWqQ7ULDhFgfwpoMC03wDrsrnznNWM5cmIctSmvEkE0zizorvQvjv5OTOEYrkH 4qDKMKHgQr2R8aa2Kz6AQF+O+aC/OGaMqbpp4lHPhHFlyQSYebfEN+VT96VGYYu9 X6WvBHA+r2eUaAUqw1I60K0aI4mpsuBVhqadW6Bv1A/0YDlAstUSwA== -----END CERTIFICATE REQUEST-----