Dell Unity: Sådan erstatter du Unispheres selvsignerede SSL-certifikater med signerede certifikater fra en lokal certifikatmyndighed. (Kan rettes af brugeren)

1. Generer en privat nøgle på Unity

Brug følgende kommando til at generere en privat RSA-nøgle med en længde på 2048 bit. Indstillingen -out angiver filnavnet til din private nøgle.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Anmod om CSR på Unity

Brug den private nøgle til at oprette CSR. Ikonet -new indstilling angiver en ny anmodning, -key angiver den private nøglefil, og -out definerer CSR-filnavnet.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Få CSR underskrevet af Windows CA-server eller OpenSSL CA-server eller en anden CA-server.

Levér CSR til en CA-server ved hjælp af metode 1 eller metode 2 nedenfor:  
 

• Metode 1: Udskriv CSR ved hjælp af 'cat' kommando, kopier og indsæt det i dit lokale notesblok og gem det som: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Metode 2: Download CSR af SCP.

Brug et tredjepartsværktøj, f.eks. FileZilla eller WinSCP, til at oprette forbindelse til Unity-administrations-IP (brugernavn: Service). Protokollen skal ændres til SCP.

4. Når det signerede certifikat er modtaget fra CA-serveren, skal du uploade det til Unity og gemme dets navn som unitycert.crt (svarende til unitycert.PK). Der vil nu være to filer på Unity: unitycert.crt og unitycert.pk.

5. Brug svc_custom_cert Kommando til installation af certifikatet:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Bemærk: Når trin 5 er gennemført, skal du slette unitycert.crt, unitycert.pk og unitycert.csr fra Unity-systemet. Ellers kan disse forårsage et problem med sikkerhedssårbarheden, hvis du gemmer dem i /cores/service/user.

Bemærk: Der kan opstå en fejl, når du forsøger at installere det nye certifikat:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Certifikatet skal være base64-kodet, før det installeres. Det kan konverteres ved hjælp af Windows-værktøjet "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Eller det kan konverteres på Unity-systemet med OpenSSL-kommandoen:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Når det er konverteret, skal du installere det ved hjælp af instruktionerne ovenfor. Se KB 19728: Dell EMC Unity: Sådan importeres et SSL-certifikat, der er signeret af en lokal certifikatmyndighed (kan rettes af brugeren) for at få flere oplysninger.

Hvis certifikatet allerede er i PEM-formatet, men udvidelsen er .cer, kan du køre:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Dette fungerer med wildcard-certifikater

Upload af certifikatfiler, der indeholder pkcs7-kodede certifikater eller yderligere indhold ud over den Base 64-kodede certifikatdel, kan nogle gange forårsage SP-panik og andre problemer. I dette tilfælde kan certifikatet skæres ned til kun delen "Base 64-kodet certifikat".