Dell Unity: So ersetzen Sie selbstsignierte Unisphere-SSL-Zertifikate durch von einer lokalen Zertifizierungsstelle signierte Zertifikate. (Vom Nutzer korrigierbar)

1. Erzeugen eines privaten Schlüssels auf Unity

Verwenden Sie den folgenden Befehl, um einen privaten RSA-Schlüssel mit einer Länge von 2048 Bit zu erzeugen. Die Option -out gibt den Dateinamen für Ihren privaten Schlüssel an.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. CSR auf Unity anfordern

Verwenden Sie den privaten Schlüssel, um die CSR zu erstellen. Die Spalte -new Option zeigt eine neue Anfrage an, -key Gibt die private Schlüsseldatei an und -out definiert den CSR-Dateinamen.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Lassen Sie die CSR vom Windows CA-Server, vom OpenSSL-CA-Server oder von einem anderen CA-Server signieren.

Stellen Sie mithilfe von Methode 1 oder Methode 2 eine CSR für einen CA-Server bereit:  
 

• Methode 1: Drucken Sie CSR mit 'cat' , kopieren Sie es, fügen Sie es in Ihren lokalen Editor ein und speichern Sie es als: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Methode 2: Laden Sie CSR von SCP herunter.

Verwenden Sie ein Drittanbietertool wie FileZilla oder WinSCP, um eine Verbindung mit der Unity-Management-IP herzustellen (Nutzername: Service). Das Protokoll muss in SCP geändert werden.

4. Nachdem Sie das signierte Zertifikat vom CA-Server empfangen haben, laden Sie es in Unity hoch und speichern Sie seinen Namen als unitycert.crt (entsprechend unitycert.pk). Es gibt jetzt zwei Dateien auf Unity: unitycert.crt und unitycert.pk.

5. Verwenden Sie den Befehl svc_custom_cert Befehl zum Installieren des Zertifikats:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Hinweis: Sobald Schritt 5 erfolgreich abgeschlossen wurde, löschen Sie unitycert.crt, unitycert.pk und unitycert.csr aus dem Unity-Array. Andernfalls können diese zu einer Sicherheitslücke führen, wenn Sie sie in /cores/service/user speichern.

Hinweis: Beim Versuch, das neue Zertifikat zu installieren, kann ein Fehler auftreten:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Das Zertifikat muss vor der Installation mit Base64 kodiert werden. Sie kann mit dem Windows-Tool "certutil" konvertiert werden:

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Oder sie kann auf dem Unity-System mit dem OpenSSL-Befehl konvertiert werden:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Installieren Sie es nach der Konvertierung gemäß den obigen Anweisungen. Siehe Wissensdatenbank-Artikel 19728: Dell EMC Unity: So importieren Sie ein SSL-Zertifikat, das von einer lokalen Zertifizierungsstelle signiert wurde (vom Nutzer korrigierbar) Weitere Informationen finden Sie unter Importieren eines SSL-Zertifikats, das von einer lokalen Zertifizierungsstelle signiert wurde .

Falls das Zertifikat bereits im PEM-Format vorliegt, die Erweiterung jedoch .cer ist, können Sie Folgendes ausführen:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Dies funktioniert mit Platzhalterzertifikaten

: Das Hochladen von Zertifikatdateien, die pkcs7-codierte Zertifikate oder zusätzlichen Inhalt zusätzlich zum Base-64-codierten Zertifikatsteil enthalten, kann manchmal zu SP-Fehlern und anderen Problemen führen. In diesem Fall kann das Zertifikat auf den Teil "Base 64-kodiertes Zertifikat" reduziert werden.