Dell Unity: Jak nahradit certifikáty SSL Unisphere podepsané držitelem za podepsané certifikáty od místní certifikační autority. (oprava uživatelem)

1. Vygenerování privátního klíče v Unity

Pomocí následujícího příkazu vygenerujte soukromý klíč RSA o délce 2048 bitů. Možnost -out určuje název souboru pro váš soukromý klíč.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Žádost o CSR v Unity

K vytvoření CSR použijte soukromý klíč. Skript -new označuje nový požadavek, -key určuje soubor privátního klíče a -out definuje název CSR souboru.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Získejte CSR podepsaný serverem certifikační autority Windows, serverem certifikační autority OpenSSL nebo jiným serverem certifikační autority.

Doručte CSR na server certifikační autority pomocí níže uvedené metody 1 nebo 2:  
 

• 1. způsob: Vytiskněte CSR pomocí 'cat' příkaz, zkopírujte a vložte do místního poznámkového bloku a uložte jej jako: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• 2. způsob: Stáhnout požadavek CSR pomocí SCP.

Pomocí nástroje třetí strany, například FileZilla nebo WinSCP, se připojte k IP adrese pro správu Unity (uživatelské jméno: Služba). Protokol je nutné změnit na SCP.

4. Po přijetí podepsaného certifikátu ze serveru certifikační autority jej nahrajte do pole Unity a uložte jeho název jako unitycert.crt (odpovídající souboru unitycert.pk). V Unity teď budou dva soubory: unitycert.crt a unitycert.pk.

5. Pomocí příkazu svc_custom_cert Příkaz k instalaci certifikátu:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Poznámka: Po úspěšném kroku 5 odstraňte unitycert.crt, unitycert.pk a unitycert.csr z pole Unity. V opačném případě mohou způsobit chybu zabezpečení, pokud je uložíte do složky /cores/service/user.

Poznámka: Při pokusu o instalaci nového certifikátu může dojít k chybě:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Certifikát musí být před instalací kódován v kódování Base64. Lze jej převést pomocí nástroje systému Windows "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Nebo jej lze převést v systému Unity pomocí příkazu OpenSSL:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Po převodu jej nainstalujte podle výše uvedených pokynů. Viz článek znalostní databáze 19728: Dell EMC Unity: Jak importovat certifikát SSL podepsaný místní certifikační autoritou (oprava uživatelem), kde najdete další podrobnosti.

V případě, že certifikát je již ve formátu PEM, ale přípona je .cer, můžete spustit:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

To funguje s certifikáty

se zástupnými znaky. Nahrání souborů certifikátů obsahujících certifikáty s kódováním pkcs7 nebo další obsah navíc k části certifikátu s kódováním Base 64 může někdy způsobit paniku SP a další problémy. V takovém případě je možné certifikát oříznout pouze na část "Certifikát s kódováním Base 64".